2024年度 第3回パーソルグループ セキュリティCTF大会開催レポート
2025年1月28日、「サイバーセキュリティスキルの向上」と「グループ内のテクノロジー人材の交流」を目的に、セキュリティのスキル・知識の習得度を競う第3回目のCTF(Caprtue The Flag)大会を開催しました。
大会事務局で主担当を務めるグループIT本部 情報セキュリティ部 サイバーセキュリティ戦略室 シニアコンサルタントの宮下に、今回の大会を振り返っての感想や次回への抱負を聞きました。
前回の経験を活かして、さらにパワーアップしたCTF大会へ
ちょうど年末年始から世間ではインフルエンザが大流行していた影響で苦渋の決断にはなりましたが、オンラインでの実施としました。エンジニア同士の交流の場としての意味もあるこの大会は、さまざまなグループ会社からの参加者がいるので、本当は普段接点のないエンジニア同士がつながってほしいという狙いもあるのですが。
当日は50名ほどのチャレンジャーを迎えてスタート。
開会式では、ITガバナンス部および情報セキュリティ部 部長の持田より参加者への挨拶と競技説明を経て、13時半から17時半まで4時間という長い闘いがはじまりました。
-
CTF(Capture The Flag)とは:
専門知識や技術を駆使して隠されているFlag(答え)を見つけ出し、時間内に獲得した合計点を競うハッキングコンテストを指す。
CTFの競技形式には、今回の大会形式のような出題者が用意した問題を解き得点を競い合う形式をはじめ、チーム同士が相手のシステムに攻撃を仕掛けながら自身のシステムを防御するというアタック&ディフェンス形式、そのいずれもの内容をミックスした形式などがあります。
―今回のCTF大会の企画で工夫した点を教えてください。
大会事務局は、今年もパーソルホールディングスより2名、パーソルクロステクノロジーから3名の計5名体制で運営し、「問題の質の向上」をテーマに準備に取り組んできました。ちなみに、事務局は、平均年齢40歳くらいのベテラン陣で取り組んでいます。
私は、第1回目から主担当として事務局を運営し、脳トレ系の問題は私が作問もしています。昨年は問題の設定上、「これ、絶対解けないよ」という問題が当日生じてしまったため、今年は事前に念入りに解きなおしするなどし、念入りに準備をしましたね。また、昨年はCTFやセキュリティ知識がない方でも楽しめるような謎解きや脳トレ系の問題も多く出題し、セキュリティ担当者以外の社員も広く楽しめる仕掛けをしたものの、実は意外とエンジニアはこういった謎解きや脳トレ系の問題が苦手な様子で、ここが難しかったという声も多かったですね。
逆に、技術的なスキルを問う問題はあまり難しくなかったという声もあったようで、上位のエンジニアが腕試しできるようなハイレベルの技術的な問題を入れる工夫をしました。せっかくのCTFという場なので技術的なことにたくさん触れてもらいたいという想いと、且つその問題が会社で支給しているグループ標準PCでも遊べるようにVDI環境まで用意をした点が、今回一番こだわった部分です。
今回は前回よりも4問増やし、計50問を作成。さらに上位20~30%の方向けに4,000ptを超えたら挑めるHARD問題を設け、手応えを感じてもらえる仕掛けを施しました。実際には約20%の参加者がこの問題に到達し、全体的にはポイント配分なども含めて想定の範囲となり、作問者としての手応えもある良い結果となりましたね。
ちなみに、参加者の平均は3,300ptほどで、最高点は満点の7,050ptでした。 内訳は、HARD問題が500pt×3問、それ以外の問題で5,550ptというポイント配分になり、平均点は想定の通りになった印象です。
―具体的にいくつか問題を紹介してください。
一見すると何もないPDFファイルですが、これをテキストで表示してみると、なんとFlagが出現!
発送の転換が求められる、まさに「脳トレ」問題の一例がこちらです。
RSA暗号は公開鍵暗号の一つで、公開鍵と秘密鍵のペアを生成し、公開鍵で暗号化、秘密鍵で復号するという仕組みです。RSA暗号はNの桁数が多く、素因数分解が現実的な時間ではできないということを安全性の根拠としています。しかし、CTFの問題になっている以上、秘密鍵の推定が可能になっています。与えられたNをMsieveのようなソフトを使って、素因数分解し、わかっている値から秘密鍵を作って、暗号化された文章を復号したら回答が出てきます。
―全問正解者がでましたね、作問者としては、どんな気持ちですか?
前回よりは問題数を増やし、内容も難しくしたつもりでしたが、想定以上にレベルの高い方がいまして、私も驚いています。 今回の上位3位までの受賞者は以下の4名のみなさんです。おめでとうございます!
-
1位:橋本 佳維さん パーソルクロステクノロジー株式会社 セキュリティ本部 セキュリティアウトソーシング1部
2位:小林 佳史さん パーソルイノベーション株式会社 グロース推進部 プロダクトマネジメント室
3位:中村 航也さん パーソルイノベーション株式会社 ビジネス開発第1統括 TECH PLAY PRODUCT
3位:益田 賢明さん パーソルクロステクノロジー株式会社 ITエンジニアリング統括本部 クラウド・インフラ部
本音では、「解ける方がいたとしても時間ギリギリになるかな~」なんて思っていたんですが、1位の橋本さんは1時間ほど時間を余らせて完答されたので、本当に驚いています。もう少し問題数を増やしたり、シンプルに解くのに時間のかかる問題などを増やすという工夫も必要だったのかなと振り返っています。嫌がられそうですけどね(笑)
また、「表記ゆれ」と言って、カタカナで書くのか漢字で書くのか、英語文字で書くものの略称で書くのか正式名称で書くのか、正式名称+アタックを付けるのか、など考えられる表記パターンがいくつかあるものがあります。これは、何パターンも試さないといけなくストレスに感じる人もいるのかなと思いますが、それも推察しながら解いていくことに意味があるという設定の問題も作りました。それでも時間を余らせた方がいたんですから、本当にビックリしましたね。
とはいえ、閉会式後に「解き方がわからない」といって残って質問する方がとても多かったので、それなりに手応えを感じてもらえたとは思っています。質問の多くはやはり脳トレ系の問題で、ひらめきが必要な問題は難しかったようですね。なかには、実は調べたら似たような形式の問題がネット上に載っているというものもあり、「画像検索したらヒットしたので、それを使って解きました!」という方もいましたね。そういう解き方の工夫をして得点につなげるという作戦もあるので、ぜひ次回はいろいろな解き方でチャレンジしてもらえたらと思います。
このCTF大会は、もともとパーソルクロステクノロジーが自社で開催していたCTF大会をベースにパーソルホールディングスでの企画へと大きくしていった経緯もあり、作問の多くもパーソルクロステクノロジーのノウハウをお借りしながら進めているのも特徴の一つです。
―次回のCTF大会に向けての意気込みを教えてください。
今回は、パーソルクロステクノロジーの社員が4割ほど、パーソルホールディングスの社員が3割、続いてパーソルキャリアの社員が2割という参加割合で、残りはパーソルイノベーションやパーソルテンプスタッフ、パーソルダイバースが少しという具合でした。業務時間内に開催しているイベントなので、急な障害対応などで参加できなくなってしまった方々もいたかと思いますが、もっといろいろなところから人が集まるイベントにできたらとい思っています。
具体的には100人規模での大会にしていきたいですね。せっかくパーソルホールディングスが主催してグループ単位で開催しているイベントになるので、もっとグループ社員同士の交流が盛んになり、グループ社員同士が自然とつながれる仕組みがつくれるといいなと思っています。また、リモートワークが主流となり、居住地フリー制度を活用してはたらいている方もいる中、なかなか社員同士がリアルで会う機会も少ないので、次回はオフラインでの開催を復活させたいと思っています。
また、このイベントが「学びの機会」の提供となることも目指しています。時事問題を通して世の中のトレンドも学べたり、なかなか普段の業務の中では広がらない技術領域に触れることで、みなさんの興味の幅が広がったり、このCTF大会を通してより高くアンテナを張りながら仕事に取り組めるようになってもらえたらと思っています。
(2025年2月時点の情報です。)
―― 合わせて読みたい記事
