- 2015年開催報告 -

2016/1/30 1

内容1.CTF for ビギナーズとは2.2015年のCTF for ビギナーズ3.アンケートの結果4.今後の展望・課題

2016/1/30 2

1.CTFforビギナーズとは

2016/1/30 3

CTFforビギナーズとは• CTFの初⼼者を対象とした勉強会• 2014年から開催• 運営メンバーは学⽣が中⼼• SECCON実⾏委員会のバックアップを受けて活動

2016/1/30 4

CTFforビギナーズの基本構成1.CTFの概要

2.分野ごとの講義 (2015年はこの中から2分野ずつ）• バイナリ講義• ネットワーク講義• Web講義

3.簡易CTF

2016/1/30 5

CTFの概要• CTF とはどのようなものか

出題形式にはどのような物があるかを説明

• 許可されたサーバ と ⾃⾝で管理するサーバ以外に攻撃しないように釘を刺す• 不正アクセス禁⽌法や法律の考え⽅などの説明

62016/1/30

分野ごとの講義

• バイナリ講義• file, stringsコマンドやIDA Proを使ったバイナリ解析、実習

• ネットワーク講義• Wiresharkを使ったネットワーク解析の説明、実習

• Web講義• XSSやSQLi等の攻撃⼿法の説明とその対策

72016/1/30

分野ごとの講義• ソフトウェア開発時や障害発⽣時の原因調査などでも

幅広く活かすことができる内容

• 実⾏ファイルの解析 → デバッグ• 通信の解析 → ネットワーク構築, 障害対応• Web アプリの脆弱性とその原因 → 開発時に気づけるようにする

• 特にCTF のみに絞った内容にはなっていない

82016/1/30

CTF演習• 講義で習ったことをCTF形式で試す• CTFの雰囲気を味わってもらう• 問題は運営側が⾃作• 最後はみんなで答え合わせ

92016/1/30

2.2015年のCTFforビギナーズ

2016/1/30 10

2015年のCTFforビギナーズ• 地⽅への展開• ⾸都圏以外の都市で開催し、より多くの⼈に興味を持ってもらう• ⽇本各地でのCTF勉強会やチーム⽴ち上げを⽀援を⽬的

• CTF⼊⾨書の出版• セキュリティコンテストチャレンジブック• CTF4bに参加出来なくても、勉強出来るコンテンツの整備

• その他• 名称を“CTF for Beginners” から「CTF for ビギナーズ」へ変更• Twitterアカウント(@ctf4b) を開設

2016/1/30 11

地⽅への展開

2016/1/30

東京第1回 6/28第2回 7/6

博多第3回 11/3

12

2014年 :3回

地⽅への展開

2016/1/30

博多(Attack&Defense)

6/7（⽇）

札幌6/14（⼟）

横浜2/15（⽇）

広島2/21（⼟）

東京7/4（⼟）

⻑野7/5（⽇）

熊本9/12（⼟）

滋賀10/3（⼟）⼤阪

11/7（⼟）

奈良(Attack&Defense)

10/17（⼟）

2014年 :3回↓

2015年：10回

13

参加者数開催地 参加者数 定員 申込者数 倍率

(申込者/定員)内容

横浜 73 60 73 1.22 Binary or Network・Web、CTF

広島 47 50 47 0.94 Binary, Network, Web, CTF

博多 51 54 54 1.00 Attack & Defense (Student Only)

札幌 29 30 35 1.17 Binary, Web, CTF

東京 78 80 253 3.16 Binary, Network, Web, CTF

⻑野 52 60 71 1.18 Binary, Network, Web, CTF

熊本 48 100 61 0.61 Web, Network, CTF

滋賀 67 80 128 1.60 Binary, Network, CTF

奈良 53 55 53 0.96 Attack & Defense (Student Only)

⼤阪 10 12 78 6.50 CTF

2016/1/30 14※申込者数はキャンセル者数も含む※横浜、広島は定員が近づいた段階で申込みを締め切ったため少なめ

申込者の所属統計

2016/1/30 15

※1参加前アンケートより集計※2札幌、東京、⻑野、熊本、滋賀、⼤阪の合計申込者

社会⼈ 社会⼈

⼤学⽣ ⼤学⽣

⼤学院⽣ ⼤学院⽣

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2014 2015

社会⼈

⼤学⽣

⼤学院⽣

⾼専⽣

専⾨学校⽣

⾼校⽣

中学⽣

その他

2014年と同様の傾向

3.アンケートの結果

2016/1/30 16

開催後アンケート• セッション毎の満⾜度• CTF演習で良かった問題• 内容は想定よりどうだったか• CTFを⾏うモチベーションはどうなったか• 今後も続けたいか• その他の意⾒・感想

2016/1/30 17

セッション毎の満⾜度

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

CTFとは バイナリ講義 ネットワーク講義 Web講義 CTF演習 答え合わせ

とても良かった 良かった どちらとも⾔えない 良くなかった

2016/1/30 18

他よりも満⾜度が低い

答え合わせについての意⾒• 問題解説の時間を⻑くして欲しい• 丁寧な問題解説が欲しい• 問題解説の資料が欲しい• 全問答え合わせして欲しい

2016/1/30 19

内容は想定と⽐べてどうだったか

2016/1/30 20

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2014 2015

とても難しかった

難しかった

想定通りだった

簡単だった

内容の最適化が出来たが、まだ

調整が必要

その他の意⾒・感想• 関東ばかりなので地⽅で開催してもらって良かった• 無料とは思えない程充実した講義だった• 今後⼤会に参加したい

• 問題が難しかった• 講義の対象が曖昧だった• 演習の時にインターネット環境がなくてつらかった

2016/1/30 21

4.今後の課題・展望

2016/1/30 22

課題• 講義コンテンツの難易度• 初⼼者が「CTFに⼊りたい」と思ってくれる難易度にする

• 演習問題の難易度• 配布⽤VM内のツールを使って解ける問題• インターネットを使わないで解ける問題

• 参加登録の⽅法• 現在の⽅法だと、早く申し込んだ⼈が参加出来る• 参加者の決め⽅を再考する必要がある

2016/1/30 23

今後のCTFforビギナーズ• 2016年度も、「CTF for ビギナーズ」は続けます！• 昨年⾏けなかった地域を回りたい• 開催地は現在検討中

• 参加後にサポートできるコンテンツの⽤意• 解説資料の配布• 演習問題が復習出来る環境

2016/1/30 24

ご静聴ありがとうございました

2016/1/30 25