日本最大のハッキングコンテスト「SECCON 2013」、8月から全国で地方予選

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は、サーバーの攻略・防御の技術を競うセキュリティコンテスト「SECCON 2013」を開催すると発表した。日本最大の“ハッカー大会”を目指すとしており、8月より全国10カ所で地方予選を実施。それらの優勝チームを招待し、2014年3月1日・2日に東京で全国大会を開催する。

JNSA会長の田中英彦氏

　昨年度、学生または22歳以下を対象にJNSAが実施した「SECCON CTF」と、社会人および23歳以上の学生を対象に経済産業省が実施した「CTFチャレンジジャパン2012」という2つのコンテストを統合。所属や年齢を問わず、学生から社会人まで参加できる日本最大規模のCTF大会として実施する。CTF（Capture The Flag）とは、サーバーに保存された情報を旗に見立てて、これを取得する早さや数を競い合う競技。サーバーを攻略する技術だけでなく、ライバルが攻略するのを防御する技術が求められる場合もある。

　SECCON 2013では、8月から12月にかけて順次、関東（横浜）、甲信越（長野）、九州（福岡）、四国（香川）、東北（福島）、北海道（札幌）、北陸（富山）、東海（名古屋）、関西（大阪）の10地域で地方大会を開催する。参加者は、情報セキュリティ技術に興味のある学生・社会人などを対象に、チーム単位（1チーム4人まで）で募集する。参加費は無料。定員は各会場40人程度で、全体で400人以上の参加を見込んでいる。

　地方大会は原則として、競技時間が10時から18時までの8時間。出題ジャンルは、ファイル解析（バイナリ）、OS、暗号、フォレンジック、ネットワーク、ウェブ、プログラミング、トリビアなど。サービスアタックなど、サーバーの脆弱性を探す問題も含まれるとしている。また、「情報セキュリティに関する知識のほか、経験に基づいた深い理解があって初めて好成績が得られるようになっている」という。

　10地域での地方大会に加えて、2014年1月下旬にはオンライン予選会も実施。参加者の国籍は制限しないため、海外からの参加も可能だとしている。ただし、問題文は日本語で出題されるため、日本語の読解能力は必要。オンライン予選会の上位3チームは全国大会に招待される。

　CTF形式以外のさまざまなコンテストも実施するという。レポート審査形式のコンテストや、5・7・5・7・7機械語の「アセンブラ短歌」、福島で行われる東北地方大会では、ガイガーカウンターの回路のハッキング問題もあるという。

　最初に開催される関東地方大会は8月22日・23日に、ゲーム開発者カンファレンス「CEDEC 2013」との共催により、パシフィコ横浜で開催する。23日午後に行う表彰式には、審査員を務める「ゲームセンターあらし」作者のすがやみつる氏、「スペースインベーダー」開発者の西角友宏氏も出席する。

　6月7日に行われたコンテストの概要説明会では、JNSA会長の田中英彦氏があいさつしたほか、コンテストを後援する総務省、文部科学省、経済産業省、警察庁などの担当者も出席してコメントした。後援にはこれら4省庁のほか、政府の情報セキュリティ政策会議（内閣官房情報セキュリティセンター）や経団連なども名を連ねており、オールジャパンで今回のセキュリティコンテストをサポートする姿勢をアピールしている。

　なお、SECCON 2013は民間企業からの協賛金によって運営される。協賛企業としては、(ISC)2 Japan、SCSK、NRIセキュアテクノロジーズ、カスペルスキー、グリー、サイボウズ、さくらインターネット、ディアイティ、テンプスタッフ・テクノロジー、トレンドマイクロ、日本IBM、日本情報経済社会推進協会、NEC、ラックが名を連ねている。

　このほか、ドワンゴや工学社などのメディア企業も協力。ドワンゴでは「niconico」において全国大会の模様を中継、工学社の「I/O」ではコンテスト問題を解説することになっているという。

総務省の鈴木智晴氏（情報流通政策局情報流通振興課情報セキュリティ対策室）

文部科学省の小林洋介氏（高等教育局専門教育課）

経済産業省の小池明氏（商務情報政策局情報処理振興課）

警察庁の佐藤朝哉氏（情報通信局情報技術解析課）

セキュリティ人材の育成・輩出へ、地方大会が必要

　SECCON 2013実行委員会の委員長を務める竹迫良範氏からは、こうしたセキュリティコンテストを開催する狙いや、日本のセキュリティ人材育成に関する課題などが説明された。

SECCON 2013実行委員会委員長の竹迫良範氏

　竹迫によると、スポーツの分野においては、例えば高校野球やサッカーの地区予選、あるいは各種アマチュアスポーツの大会など、地方でも盛んに大会が行われている。全国の学校には野球やサッカーのグラウンドがあるほか、各地にトレーニングセンターなどもあり、世界に通じる優秀なスポーツ人材を輩出する基礎になっている。工業・電子系の競技としてもすでに技能五輪や高専ロボコンなどが開催されているのに対して、情報セキュリティの分野は遅れていると指摘。クラブ活動や地方大会が必要だという。

　SECCON 2013の開催にあたっては、従来と同様に民間企業・団体や学生などからの参加を募るほか、各地で情報セキュリティに関する勉強会やCTFトレーニング、研修なども実施し、そうしたコミュニティの結成やそこからの地方大会への出場も促していく考えだ。

　また、コンテストから輩出した優秀なハッカーをセキュリティ人材として企業の側で受け入れていく意識づくりも課題だという。SECCON CTFへの出場をきっかけに協賛企業への新卒採用が決まった事例は、JNSAが把握している限り1人だけ。このような現状について竹迫氏は、SECCONを継続して開催していかなければ結果が出ないと指摘。高校生でSECCONに参加した人材が大学を卒業し、就職するまで、今後5年・6年とコンテストを継続することで、セキュリティ人材の発掘・育成のための取り組みとしての理解を広げていくことの重要性を訴えた。

　竹迫氏からは、昨年度のSECCON CTFの参加状況や問題の内容についても紹介があった。地方大会は九州、関東、関西、横浜で行われ、38チーム・160人が参加。上位の計10チームで全国大会が行われた。参加者の所属は、大学院が7校、大学が16校、専門学校が5校、高専が3校、高校が10校、中学校が1校。

　競技は、運営側が用意した問題用のサーバーを攻略して、最終的にウェブページを改ざんするというもの。サーバーを攻略するにはいくつかのステージをクリアする必要があり、ステージクリアごとに得点が加算される。さらに改ざんに成功したチームは、後から攻略して来るチームを防御し、自身が改ざんした状態を維持することで得点が得られる。これを複数のサーバーで競技し、最終的に高得点のチームが優勝する仕組み。例えば、最初のサーバーは、「10.0.2.3」というIPアドレスの情報だけをもとにディレクトリトラバーサルやSQLインジェクションなどを使って攻略していく問題だった。