皆様はセキュリティ関連のイベントや勉強会にご興味はあるでしょうか。興味がありつつもどんなものかわからず、身構えてしまって気づいたら開催日が過ぎていた、というようなことがよくあるかと思います。そこで当ブログでは弊社メンバーが参加したセキュリティ関連のイベントや勉強会について、不定期で参加体験ブログを書いていきます。今回は先月末に開催された【初心者向けCTF勉強会】について、ご紹介していきたいと思います。
ちなみにイベント参加体験記として以前こんな記事も書いているので、もしよろしければご覧ください。
ゼロから始めるCTF入門勉強会とは
まず最初に参加した勉強会の概要をご紹介しようと思います。以下に参加募集ページを貼っておきます。
https://zeroctf.connpass.com/event/259786/
内容について少し補足します。まず『CTF』について説明しますと、『CTF』はCapture The Flagの略で情報セキュリティのスキルを競う大会です。セキュリティの知識や技術を駆使し、制限時間内にクイズの答えを見つけ獲得した点数を競うというものです。そして、この勉強会は、『これからCTFにチャレンジしていきたい、あるいは、CTFの知識を学びたい』という方を対象とした勉強会、という位置づけです。
2020年まではオフラインで開催されていたようですが、近年は勉強会用のSlackとYoutubeによるオンライン形式での開催が主になっています。参加した第31回では、CTFの出題分野の一つ「pwn」のみの勉強会でしたが、複数の分野を扱う回もあるようです。
毎月月末に開催されているようなので、月末の予定がないな~といったときに参加しやすいのもいいなと思いました!
こんな方におすすめ
先ほどと重複しますが、対象としては以下のような方でしょうか。
- CTFをこれから始めてみたい方
- セキュリティについて詳しく知りたい方
- CTFを触ってみたけど、今一つ良く分からなかった方
CTF入門勉強会で学んだこと
今回の勉強会ではBoF(バッファオーバーフロー)を題材に、C言語で作成された脆弱性のあるコードにおいて、関数実行時に不正な引数を渡すことで攻撃をする手法を学習しました。攻撃文字列や、任意の関数の呼び出し方の方針を考え、gdbでプログラムを実行して攻撃実行に必要な情報を実際にコードを動かして確認しました。
29回ではBoFの基本事項を確認したとのことだったので、その復習を行った後、Return-to-libc攻撃やROPを悪用してプログラムを制御する手法などを学習しました。ご参考までに用語解説、および、解説記事をシェアします。
- Return-to-libc攻撃
https://ja.wikipedia.org/wiki/Return-to-libc%E6%94%BB%E6%92%83 - ROPの解説はこちら
https://lepidum.co.jp/blog/2019-12-18/return-oriented-programming/
CTF入門勉強会への参加感想
今回は山田と閑戸の2名で参加しましたが、ご参考までに各自の参加感想を紹介します。
非常にスピード感のあるハンズオンだったと思います。私達が参加した第31回は第29回からの続きでしたが、29回の勉強会資料を予め提示していただけていたおかげでなるほど!と思えるところが多々あったいい勉強会だなと思いました。CTFの勉強会には何回か出たことがありますが、本勉強会には始めて参加したのでpwn以外にもCryptoやWebなどの他分野の勉強会が開催されるようであればまた参加したいと思っています。
CTFの勉強会に参加するのは初めてで、追いつくのに精一杯でしたが、楽しかったです。BoFを実際に実行するにあたり手法や必要な情報などを調査しつつ、攻撃を実行して成功した時が嬉しくて、学びのある勉強会でした。CTFの勉強会には初めて参加しましたが、機会があれば今後も他の勉強会にも参加してみたいです!
まとめ
以上簡単な勉強会の内容紹介と参加感想ですが、少しでも勉強会の内容がイメージできたでしょうか。
今後も不定期でイベントや勉強会についてご紹介できればと考えています!体験記ブログをきっかけにセキュリティ関連のイベントへ参加した!という方が増え、ひいては業界全体が盛り上がっていくといいなと思います。
弊社では一緒に働く仲間を募集していますので、もし興味を持たれたエンジニアの方がいらっしゃれば、こちらもご覧ください。