どのCTFに出たらいいか分からない人のためのCTF年表 (2016年版)
First published Wed Dec 21 21:32:09 2016 +0900 ; substantive revision Wed Dec 21 21:32:09 2016 +0900
2014年の初めにはすでに飽和気味と言われていた 1 CTFですが、今のところは未だに年々盛んになっていて、今年2016年には単純計算で3日に1回の割合でコンテストが開催されています。一プレイヤーとしては喜ばしい限りですが、数が増えすぎて、初心者はどれに参加したらいいのか分からなかったり、いろいろ参加している人はしている人で、どれがどういうコンテストだったのか忘れてしまうこともあるように思います。
実際、どのコンテストに出るべきなのか聞かれる機会があったので、難易度や質でおすすめを選んでみようとしたのですが、比較が難しく、うまく整列順序にすることができず頭を悩ませていました。
そこで、量的な基準として歴史を利用することを思いつき、CTFtime のデータを利用して過去に開催されたCTFの年表を作ってみました。特にCTFtime開設以前の大会開催情報がかなり抜けていますが、掲載分に関して開催回数の実績順にソートしてあります。
-
CTFtimeline https://nolze.github.io/CTFtimeline/
- on GitHub https://github.com/nolze/CTFtimeline/
上から眺めていくと、まあまあいい感じに定番どころが入ってきている気がするので、どういうコンテストがあるのかを見る上で、ひとつの指標として参考にしていただければ幸いです。一方、新しめのCTFは評価が高くても当然ながら埋もれてしまっている 2 ため、上のほうの年季の入ったCTFばかり出ていては時代に乗り遅れそうです。さらに言えば「外れ」なCTFでも気楽にやる分にはおもしろいので、気の向くままに出るのも大事かもしれません。
憶測と私見で紹介する年表 TOP 5
1. DEF CON CTF
DEF CON CTFは世界最大規模のセキュリティカンファレンスDEF CONのイベントのひとつとして開催されるコンテスト。おそらく最も歴史あるCTFであり、今日もなお世界最高峰的な受容をされている。
昔から決勝大会は rev/pwn メインの様子。一方で予選は多ジャンルの問題が出る「普通の」CTF だった 3 が、Legitimate Business Syndicate の運営になってからは (決勝大会で戦えるチームを選ぶという意味では的を得ているが) 予選もひたすら rev/pwn が出るようになったので、その手の人にはやりがいがあるが、そうでない人にはつまらない。DEF CON CTF そのものの予選上位チーム以外にも、近年は毎年何らかの基準で選ばれたいくつかのCTFの優勝チームがシードに認定されている。
See also
- DEF CON® Hacking Conference - CTF History https://defcon.org/html/links/dc-ctf-history.html
- エフセキュアブログ : マスコミが書かない「DEFCON CTF」 http://blog.f-secure.jp/archives/50623876.html
- ASCII.jp:DEF CON 22の頂上決戦!CTFでの日本チームを追う (1/2) http://ascii.jp/elem/000/000/928/928352/
2. UCSB iCTF
正式名称は「UC Santa Barbara International Capture The Flag」。名前の通りカリフォルニア大学サンタバーバラ校のコンピューターセキュリティーグループが主体になっている。CTF的には angr でも有名なShellphishはここのチームで、今はここが UCSB iCTF の運営も担っているらしい。
レギュレーションか何かでそもそも参加が難しかった記憶があり、どんな大会なのかよく分からないが、Attack & Defence 形式 (攻防戦) 系の変わったスタイルのコンテストだった印象がある。今年度 (2017/1) は参加しやすくなるらしいので、出てみたいところ。
See also
- The 2005 International Capture The Flag Hacking Competition https://ictf.cs.ucsb.edu/ictfdata/2005/site/CTF.pdf
3. CSAW CTF
- https://ctf.csaw.io/
- 2007-
NYU Poly の学生主体のイベント Cyber Security Awareness Week のイベントのひとつとして開催されている。
オンラインの予選に関しては、問題はバランスがよく比較的易しめな印象。決勝大会は地域で参加制限がある。今どき珍しく毎年コンスタントにReconを出してくる (しかも妙に難しい) 。
4. RuCTF
- https://ructf.org/
- 2007-
ウラル連邦大学 (ロシア) のチーム HackerDom が主催しているらしい。
2015年からオンライン予選がなくなり、予選は RuCTFE に一本化されたらしい (知らなかった) 。RuCTFE はオンラインでは珍しい Attack & Defence 形式 (攻防戦) のコンテストで、間違いなく一度は参加を試みる価値がある。ただし、参加のための環境構築がかなり面倒で、試みても参加できないかもしれない。
5. CODEGATE CTF
-
http://www.codegate.org/en/hacking/general
- 19歳未満の学生部門 http://www.codegate.org/en/hacking/junior
- 2009-
韓国政府主催のセキュリティカンファレンス CODEGATE のイベントのひとつとして開催されるコンテスト。
オンライン予選の問題は rev/pwn 主体だが、DEF CON CTF Qualifier に比べるとそれ以外の問題も出る。GrayHash による運営の時代には難しく高度な pwn が出題され、今でも練習に使われている。
See also
- エフセキュアブログ : 祝! CODEGATE CTF 予選一位通過 http://blog.f-secure.jp/archives/50574300.html
- 小池悠生 インタビュー http://www.shield.ne.jp/ssrc/contents/doc/SSRC-HJ-201505.pdf
[FOOTNOTES]
-
世界のCTFとSECCON tessy@AVTOKYO / sutegoma2 http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_B3-2_tessy.pdf ↩
-
例えば Tokyo Westerns/MMA CTF の回数とレーティングを見よ ↩
-
cf. http://nopsr.us/ etc. ↩
