ICC (International Cybersecurity Challenge) 2023 現地レポート
2023年8月1日~4日にアメリカ・サンディエゴにてIC3 (International Cybersecurity Championship & Conference)が開催されます。
IC3は、「ゲームを用いたサイバーセキュリティ技術の向上」を目的として開催されるイベントです。 ICC運営委員会とENISA(欧州ネットワーク情報セキュリティ庁)により開催されるCTF大会であるICCはIC3のコンテンツの1つとして位置づけられています1。 IC3では他にもゲームとサイバーセキュリティ技術の関連についての話題を扱うカンファレンスや、サイバーセキュリティゲームの体験会等が開かれています。
さて、今回私たちが参加するICCは世界を対象とした地域対抗のCTF大会です。 競技に参加する地域は次の7地域で、それぞれの地域の担当チームがそれぞれの方法で選手の選抜を行います。
- アフリカ
- アジア
- カナダ
- ヨーロッパ
- ラテンアメリカ
- オセアニア
- アメリカ
チームアジアはインドネシア、インド、日本、マレーシア、モンゴル、シンガポール、韓国、台湾、タイ、ベトナムの10の国と地域から17名の選手を選抜し、チームを結成しています。 コーチなどのサポートメンバーを含めると30人近くがチームアジアとしてサンディエゴに集結しており、万全の態勢で選手がCTFに取り組める状況を作っています。 他の地域の詳細についてはIC3の紹介ページをご覧ください。
以降では、速報的に各日の様子をお伝えしていきます。
出発~到着日(7月31日)の様子
日本のプレイヤー及びほとんどのスタッフは成田空港からの直行便でサンディエゴ空港へ向かいます。 この便には他の国のプレイヤーもトランジットで搭乗する予定だったため、台湾やインドネシアから参加するチームメンバーとは日本で合流することができました。
会場のホテルに到着しチェックインを済ませた後、アジアチーム初の顔合わせとなるチームミーティングを実施しました。 到着時間の都合で全員集まることは叶いませんでしたが、米内リーダーの下ルールの読み合わせや作戦を検討しました。
ミーティング後にはアジアチーム全員でディナーを楽しみました。
IC3 1日目(8月1日)の様子
イベント1日目は開会式やCTFチームの会場セットアップ、ルール説明などが行われました。 ICCの競技形式はかなり複雑で、1日目にJeopardy2形式、2日目にAttack & Defense3形式とKing of the Hill4形式のCTFが開催されます。 さらにハードウェアに関する問題や脱出ゲーム形式の問題なども加わるため、ルール説明中はひっきりなしに質問が飛び交いました。
いよいよ明日からCTF本番が開催されます。 競技の様子はYouTubeやTwitchで配信される予定なので、チームアジアの応援をよろしくお願いします!
IC3 2日目(8月2日)の様子
いよいよCTFが始まります。 競技開始は9時に設定されていますが、8時までに電子機器類を会場に持ち込みロックダウンに備えます。 CTFの問題を持ち出す等の不正行為防止のために、競技時間中は「ロックダウン」と呼ばれる状態になり、一切の電子機器類の持ち込みや持ち出しが禁止される仕組みになっています。 しかし、チームアジアはそのルールをコーチ含めて失念していて定刻を過ぎてしまい、慌てて運営に取り合ってPC類を持ち込むという、ヒヤヒヤするスタートになってしまいました。
ICCのJeopardy CTFにはFirst Bloodというルールが設定されています。 First Bloodはそれぞれの問題を最初に解いたチームに対して追加でポイントが与えられるルールです。 難易度によらず固定の得点が得られるため、競技開始直後は特に簡単な問題のFirst Bloodが全チームの間で争われることになります。
チームアジアも当然序盤のFirst Bloodの獲得を狙いますが、残念ながら問題選択がうまく噛み合わず大部分のFirst Bloodを逃してしまいます。 競技中盤以降でいくつかFirst Bloodを獲得することはできましたが、全体で見ると苦しい展開になってしまいました。
その後は順調にフラグを獲得し点数を伸ばしていきますが、順位表が隠される競技終了90分前時点では、3位かつ上位との点差が開いている状態でした。 翌日のAttack & Defenseを少しでも楽にするために、競技終了までにできるだけ点差を詰めたいところです。
競技終了後は問題についての簡単な解法をまとめたWriteupと呼ばれる文書を提出してIC3の2日目は終了しました。 Jeopardyの最終的な順位は表彰式で発表される予定です。
明日はAttack & Defense形式のCTFが開催されます。 このルールでは相手チームからの攻撃に的確に対応する必要があるため、Jeopardyよりもさらに高いチームワークが求められます。 競技の様子はYouTubeやTwitchで配信される予定なので、チームアジアの応援をよろしくお願いします!
IC3 3日目(8月3日)の様子
前日のJeopardyの結果が不安なところですが、頭を切り替えてAttack & DefenseとKing of the Hillに取り組みます。
Attack & Defenseでは全部で6つの攻撃対象が用意されていました。 プレイヤーは問題解析やパケット解析などのいくつかの担当に分かれ、それぞれのサービスを攻略していきます。
チームアジアは競技中全体を通して的確なパッチや圧倒的な攻撃力を発揮し、数日前に初めて顔を合わせたとは思えないような立ち回りを見せてくれました。 6つの攻撃対象のうち、4つのFirst Bloodをチームアジアが獲得するという素晴らしい結果になりました。 Attack & DefenseではFirst Bloodのボーナスはありませんが、どのチームよりも先に脆弱性を発見できている状況は非常に大きなアドバンテージとなります。
一方、King of the Hillでは苦戦を強いられる状況になりました。 King of the Hillでは、モンスターを召喚して戦うバトルロワイヤル形式のゲームのAIを作るという問題が出題されました。 ゲーム自身にも意図的なバグが埋め込まれていたり、自機とモンスターで2種類以上のAIを実装しなければならなかったりと、複数ジャンルが融合した非常に難しい問題です。 チームヨーロッパやチームUSAがルールを把握して高得点を出すAIを早めに完成させてしまったため、チームアジアはそれに対抗するという展開になりました。
競技終了2時間前には、Jeopardyのときと同様にスコアボードが更新を停止しました。 この時点ではチームアジアは2位でしたが、スコア的には逆転が可能なので最後の2時間で追い込みを掛けます。 競技終了時にはチームアジアの多くのメンバーが笑顔だったので、きっといい結果が期待できるでしょう。
ちなみに、競技の様子は前日同様にオンラインで配信されていたほか、観戦用のスコアボードや可視化画面なども用意されており、競技に参加していなくても楽しめるように作られていました。
明日は表彰式が行われます。 チームアジアはAttack & Defense部門の優勝を飾れるのか? Jeopardyのビハインドはどこまで取り戻せているのでしょうか? 総合優勝はあるのか?
IC3 最終日(8月4日)の様子
最終日は夕方から表彰式が行われます。午後3時くらいまでは自由時間なのでプレイヤーは各々観光を楽しんでいました。
表彰式は今までCTFを開催していた会場とは異なり、サンディエゴ大学の敷地内で開催されました。 表彰式には結果発表を焦らすため(?)スピーチがあるのが普通ですが、今回はそのようなものはなく純粋に結果のみが発表されました。
まずはJeopardy形式のCTFの優勝チームの発表。優勝チームはチームヨーロッパでした。 これは予想通りです。
続いてA&Dの優勝チーム発表。
優勝は……チームアジア!
なんとか望みを繋ぎました。 ここで名前を呼ばれなかった場合、総合成績が危うくなってしまいます。 各部門での優勝チームにはトロフィーが贈られました。
次に総合結果の発表に移ります。 上位3位のみが順位を発表され、壇上で表彰を受けます。
第3位は……チームアジア!
個人的には2位か1位かで考えていたので虚を突かれてしまいました。 後から聞いた話では、他のチームのA&Dでの守りが堅く、思うように点差を付けられなかったそうです。
プレイヤーの様子を見ると、もっと上位に行きたかったという気持ちがにじみ出ていましたが、何はともあれ第3位おめでとうございます! 第2位はチームオセアニア、総合優勝はチームヨーロッパの2連覇となりました。
おわりに
長い間お付き合いいただきありがとうございました。 ICCは来年も開催される予定で、恐らくチームアジアも今年同様にCTF予選を実施すると思います。 今24歳以下5の方はそれまでに腕を磨いて、来年のICCで会いましょう!
