【第5回 北海道セキュリティ勉強会】Catch the Flag. Chatch the… #secpolo

どうもこんにちは。毎週土曜日は勉強会の日となってる（かもしれない）僕です。
どうも札幌Ruby会議から英語のタイトルにしてるなと思ったり。
文末に書く格言ごっこはエスペラントなのに（´・ん・｀）
（合ってる合っていないは別として）

今回の勉強会は第5回北海道セキュリティ勉強会（通称セキュポロ）というものに行ってきて、CTFとはなんじゃらほいというのを聞いてきました。

今回もざっくりと思ったことを箇条書きにして後から掘り下げていこうと思います。

• サーバーぶっ壊すだけがCTFじゃない！
• ロールプレイやチームワークも大切
• 韓国の力の入りっぷりを再確認
• 僕がセキュリティプログラミングキャンプに行けなかった理由
• 成長は大木のようなもの

サーバーぶっ壊すだけがCTFじゃない！

そもそもCTFってなんじゃらほいという話ですが、
Catch The Flagの省略で、簡単に言うと“相手陣地の旗取り合戦”でサバイバルゲームやFPSの一番ポピュラーなゲームスタイルじゃないかなと思います。
それをセキュリティコンピューティングの世界に持ってきて、色々なルールで行われている感じです。
もっと簡単に言うと「ブラッディマンデイ」でやってるようなことをお互いのサーバー機どうしてちゃんとルールを設けて競技としてやっちゃっているという具合です。
有名ところだとDEFCONとか。
どんな感じかはこちらの記事（＠IT）を参照。

今回講演にきてくださったのが、日本ではその筋の人なら知っているであろう「チームチドリ」のTessyさんが講師として札幌まできてくださいました。

話を聞いていると、単純に「セキュリティの脆弱性を突っついてサーバーを落とす」だけではないというのがわかりまして、実際に勉強会会場で問題を開いて解いてみたりということもしたのですが、まさにコンピューターの裏技的問題というべきか、とんちネタとか単純なバイナリ解析だけじゃないという世界で、僕はなかなか入り込めない世界ですが、素直に面白いと思えました。#TopCorderをちょっとやってたからかもしれないですが。

興味を持った方はぜひ「DEFCON 過去問題」などで調べてみてください。
知的コンピューティングをあなたにも :）

/* うちのクラスにDoS攻撃やパスワードクラックとかをちょっと得意とする人がいらっしゃるのですが、彼を鍛えたら案外CTFの選手としても活躍できるのではないかなと勝手に思っていたりしてます。*/

そしてそんな競技性を持った悪戯大会ですが、戦いが終わったら国境を超えた交流もあるのが、この世界ならではかなとも思ったりしました。

ロールプレイやチームワークも大切

実はこの競技、チームを組むことが必要です。
場合によっては一人でも不可能ではないとは思いますが、問題を解きつつ他チームのサーバーからの攻撃に対処したりなどかなり辛いところがありますし、一人の知識では行き届かないところもあったりするので、やはり最低2人以上の仲間は必要ということでした。

問題自体もいろんなジャンルにわかれており、かつ短時間で多くの問題を解かなければいけないので、各メンバー得意分野を攻めて行ったりという戦略が必要だそうです。

韓国の力の入りっぷりを再確認

前の記事で「韓国本気すぎ……」ということは話していましたが、実際に大会の現場を覗いてみると本当に力を入れているのだなと。

DEFCONなどの大会で上位の方に韓国のチームが高確率で入っていたり、DEFCON本戦でラスベガスに行く際も国が補助してくれるということです。

ちなみに、Tessyさんのおはなしだと
「CTFにでていると、韓国の学生さんがやってきて話を聞きに来たりして、ちょっとモテモテになります」
とのこと。

わざわざ日本や国外のチームの人と話を積極的に聞きに行ったりするところが、
勉強熱心だなとおもったりしました。
僕も韓国の学生さんに負けないくらいの技術を見につけたいものです。

僕がセキュリティプログラミングキャンプに行けなかった理由

ここでちょっとガラリと話が変わりますが、aMaNeSenSei（以下：aMaNeさん） さんからのセキュリティプログラミングキャンプの紹介。

僕も実はセキュリティプログラミングキャンプに参加表明を出したのですが、残念ながら落選しまして、実際に同年代で参加した方の報告や感想が聞けて本当によかったです。

aMaNeさんの発表からひしひしと素直な感動の感情が強く伝わってくるのがわかったとき、やっぱりこの人が行ってよかったのだろうなと思ったりしました。

ここで僕が行けなかった理由を考えたときに、運もあったとは思いますが、やっぱり素直に熱意が足りなかったのかなと考えてみました。
僕は今回のセキュリティプログラミングに送った内容として「今回参加してFOSSやUbuntuの開発に貢献できるようになりたい」というようなことを書いたのですが、
aMaNeさんはもっと広く学ぼうという意欲があったのではないかなと僕なりに解析してみました。
それこそ、先週角谷さんとの会話で伝えられた「心の底から信じられるか」というのも関連するのかなと。
僕自身の能力ののびしろをどこまで信じられていたかというのがちょっと弱かったかなと。
思いがどうのこうのという話ではないとは思いますが、ちょっとそんな事を考えました。

成長は大木のようなもの

最後に、懇親会でようやくまっちゃだいふくさんと会えまして、そこでお話したことから僕が考えたことをつらつらと。（酔っていてちゃんと覚えていないかもしれませんが）

「だれだってそうだけど、（“サルでもわかるPython顔文字プログラミング”の）TAKESATOも（“aaencode – Encode any JavaScript program to Japanese style emoticons (^_^)”の)hasegawayosukeも最初からあんなレベルじゃなかった。みんなちゃんとステップを踏みながらあんなになってる」

ということを聞かせていただいて、分かってはいるけどやはり再確認しました。

そして今朝振り返ってみると、僕自身他人には
「そんなに焦って投資とか政策とか教育とか切ってはいけないと思う。そういうのは即時性がなかなか出ないものだし」
といったりしているのですが、自分に対する投資に関しては、全く真逆で即時性を求めてしまっていたなと反省したのでした。

今回の勉強会をとおして、当たり前だけどなかなか気づけないところを振り返り、気づくことが出来たのでよかったです。

あらためて、勉強会の世界に誘ってくださったまっちゃだいふくさんに、この場を借りてお礼申し上げます。

ーーTro fure pensi tujn elsalkontin pro ne kreski.
――育たないからとすぐ抜いてしまうのは早計である。