スパイ養成CTF!? AVTokyo 2021の 『Open xINT CTF』に参加した! 第13回 初心者のためのセキュリティ勉強会（オンライン開催） meow ( @meow_noisy) 2021/11/25(木)

発表概要  今年の10月にAVTokyo2021のOpen xINT CTFに勉強会の メンバーでチームを結成し参加  結果は168チーム中3位に入賞🎉  今回の発表ではCTFの説明や私が解いた問題、チームでの工夫 などを報告する 表彰式の様子。勉強会のグループ名が大々的に表示される

関連記事  チームメンバーのkuzushikiさんパートのwrite-up  https://speakerdeck.com/kuzushiki/open-xint-ctf-2021-writeup  この後、kuzushikiさんのDuolingo問の実演と ところてん さんパートの発表もあります  現地のみの発表  この資料とは別にブログ記事の方を執筆中  このスライドは参加体験記の位置付け  ブログの方では解いた問題すべてのwrite-upに加え、 CTF自体の分析も行う予定

おしながき  はじめに  AVTokyo、Open xINT CTFについて  2021年度のxINT CTFに向けた事前対策について  自分の準備、チーム編成、共同作業方法  自分が挑んだ問題について  解けた問題、解けなかった問題をピックアップ  CTFの振り返り  おわりに  ふろく: 勉強会での質疑

はじめに AVTokyo、Open xINT CTFについて

とは http://ja.avtokyo.org/avtokyo2017/ https://twitter.com/awamori_tt/status/789360354631360512?s=20

2020年に続き今年もオンライン開催に  従来は地下のバーで開催  このご時世なので2020年に続き今年もオンライン開催に  Discord + Twitch 2019年の光景 Discord

Open xINT CTFとは  AVTokyoのイベントの1つ  さまざまなインテリジェンス(x INT)によってフラグを得るCTF  2016年より毎年AVTokyo現地にて開催  ただし、2020年, 2021年はオンラインでOSINT問のみ  作問・運営はTeam pinja(lumin、ykame、awamori)  国内最強、世界的にも強豪のOSINT CTFチームだと思う https://openxintctf.wixsite.com/pinja/post/開催概要-overview

インテリジェンスとは 情報A 情報B 入手した情報 情報X 入手していない情報 情報C 情報統合 情報分析 情報C1 情報C2 情報D こんな情報があるはず(仮説) 情報E ・・・ 情報の価値  複数の情報を分析・統合・仮説の検証などを経て、より利用価値のある情報に 昇華させる行為を指す  OSINT: オープンソースの情報に基づいてインテリジェンスを行うこと 情報を元に最終的な 意思決定へ 例) 情報ZからプランPを実 施するのがよい Security Days 2021「OSINT:ハッカーから見えるインターネットの世界」 の講演内容を元に作成

CTFにおけるOSINT問について お題から分析できる情報と公開情報、個人の仮説を組み合わせる ことで、フラグを導き出す形式の問題 入手した情報 情報統合 情報分析 自販機が多い、 ビールケース、 この建物は 酒屋では?(仮説) “西日暮里3丁目 酒屋” 情報の価値 フラグ: 谷中 オープンソース Google Street View “西日三”とい うラベル 問題例. 左下の画像の撮影場所を特定せよ Digital Overdose 2021 Autumn CTFより

2021年度のOpen xINT CTFに向けた 事前対策について 自分の準備、チーム編成、共同作業方法

自分の基本的な準備  去年10月にxINT CTF2020に参加してから 1年先を見据えてOSINT CTFの技術アウトプットを続ける https://speakerdeck.com/meow_noisy

チームの結成  一度チームでCTFやってみたかった  9月の勉強会でxINT CTFの紹介 ＆チーム募集  事前にOSINT CTFに興味をもっていた ところてんさんが加入  後日kuzushikiさんからご連絡をいただき加入

チームメンバー  ところてん(@tokoroten0813)さん  セキュリティ業界12年目  CISA / CISM / CDPSE  kuzushiki (@kuzu7shiki)さん  セキュリティ業界2年目  OSCP / OSWE  私(@meow_noisy)  ただのOSINT CTF好き  「死角？特にありません。無敵です」 全員この勉強会グループ(Security for beginners)の関係者だったことから、 チーム名もそのようにした。

チーム内事前打ち合わせ  xINT CTFに向けたツールのインストールを依頼  チーム内議論 1. 各人がどう解くか  →ばらばらでやる 2. どういう手段で作業する  →基本ボイチャ 3. 問題管理はどうする  →Trelloを使用

メンバーに事前に依頼していたこと: OSINT CTFを解くための環境の構築  最低限お願いレベル  Google レンズのインストール  webブラウザに"Search by Image"という拡張機能を入れる  複数の検索エンジン(Google, Bing, Yandex…)の一括して 「画像で検索」できる便利なツール  duckduckgoをお気に入りに入れておく  Googleだと日本語サイトがノイズになることがあるので  無理にとは言わないがあるとよいレベル  捨て垢作成用のGmailアカウント作成  普段使わないようなサービスを調べる必要があったりする  LinkedInのアカウント作成  インスタのアカウント作成  Facebookのアカウント作成

Trelloでの問題管理  問題ごとにカード、解いている状態をリストとした  自分が現在解いている問題のカードに作業メモを残し、 スムーズな引き継ぎができるようにする  どういう方針で解けそうか、どんなフラグを試したか、どんな Google検索ワードを入力したか、どんなサイトを見つけたか、など delishを解いている時の作業風景

過去問の集約と公開  xINT CTFの過去の問題のwrite-upをすべて一箇所に集め、 ブログにて共有  メンバーに問題の肌感覚を掴んでもらう https://meow-memow.hatenablog.com/entry/2021/09/21/193418

その他  CTF開催数日前にOpen xINT CTF 公式サイトが新設  https://openxintctf.wixsite.com/pinja  フラグが仕込まれていないかページソースと画像を物色  フラグはなかった

xINT CTFで 自分が挑んだ問題について 解けた問題、解けなかった問題

私のCTFの解答状況  難しい問題を他のメンバーが取り組んでいたので、 簡単そうなものを拾っていた  問題をピックアップして紹介する

WHOIS(50pt, 114 Solves)  問題名の通り whoisコマンドでpinja.xyzを調べるだけ  warm-up問題の位置付けで2018年から2020年まで同様の内容が 出題されていた  出題される予想がついていたので前日に$whois pinja.xyzの 結果をテキストファイルに残し、本番開催前に開いていた  読みが見事に当たりfirst bloodをゲット Q. pinja.xyz(ドメイン) の最新の更新された時間を示せ。 SOLVED

SUB(100pt, 64 Solves) Q. 潜水艦が見える。撮影した場所を答えよ。解答フォーマットは座標 SOLVED

SUB(100pt, 64 Solves)  search by imageを試す  bingにて類似の画像がヒット  「ハーバーランド」というタグ  神戸ハーバーランドを検索  3Dマップで撮影された画角を 探し、近辺をブルートフォース  フラグ  N34.678,E135.185  神戸アンパンマンこども ミュージアム＆モール SOLVED

SUB(100pt, 64 Solves)  他の参加者の方の解法  「潜水艦 工場」で検索すると記事がヒットする模様  非常に省エネな解き方  余談: 私は場所は特定したが、フラグフォーマットに関し て焦った  kuzushikiさんが問題文が修正されていたことを教えてくれた  ソロでやっていたらきっと気づかなかったことでしょう… SOLVED

BUS(300pt, 37 Solves)  Q.このバスの停車位置は？ 解答フォーマットは座標 SOLVED

BUS(300pt, 37 Solves)  車体にペイントされた“H657-16418”で検索  Wikipediaがヒット  https://ja.wikipedia.org/wiki/ファイル:JR-bus-Kanto-H657-16418.jpg  >高速バス「新宿 - 佐久・小諸線」で運行中  後は新宿～佐久・小諸・高峰高原の停留所をしらみつぶし すれば良さそう http://time.jrbuskanto.co.jp/bk05020.html SOLVED

BUS(300pt, 37 Solves)  しらみつぶし効率化のために画像から場所の特徴を調べておく  レンガ状の床、車体に反射した小屋のつくり、店の看板  調査した結果、佐久平駅 だった  フラグ: N36.2778,E138.4656  私はStreet Viewを使っていたが、 他の方はGoogleMapだけで高速に 判断していた模様 SOLVED

waitress(200pt, 23 Solves) Q.ついに2021年9月24日に卒業することができたわ！ 卒業はするけ ど、ウェイトレスとして働いているからお店で待ってるね(※店名を 答える) SOLVED  女性が卒業証書を見せている写真  卒業証書は名前は黒塗り ※実際には写真ですが、実在の人物でありセンシティブな情報なので いらすとやのイラスト に差し替えています。 〇〇大学 △ △学科

waitress(200pt, 23 Solves)  search by imageやGoogle検索は失敗  site:www.facebook.com “September 24, 2021 graduation”など  インスタもなさそう  卒業証書を確認  大学名と女性が専攻していた学科はわかっている SOLVED

waitress(200pt, 23 Solves)  〇〇大学 が Youtubeで卒業式をライブ配信しており、 そのアーカイブが残っていることが判明  私「写真の本人、出ているんじゃないか?本人の学部が何日 何時か分かれば…!」 SOLVED

waitress(200pt, 23 Solves)  大学のホームページから卒業式の開催情報を調査  各学科ごとの卒業証書の授与が行われるおおよその開始時刻が わかった  当該の専攻学科の時間帯を調査  △ △学科の時間帯は9月24日 2:00 PMから とわかる

waitress(200pt, 23 Solves)  YouTubeの当該時間帯の卒業証書授与式(1時間半位)を見て、 ライトグリーンのドレスかつ左手に指輪を召している人間 がいないかを早送りで確認 5秒早送り 5秒早送り 5秒早送り … SOLVED ※日本風のイラストを使っていますが実際には海外の卒業式です。

waitress(200pt, 23 Solves)  いた!  自動生成字幕によりFirst Nameは判明。Last Nameは違ってそう  1:00:59より入場 SOLVED 雑なコラ画像ですみません…

waitress(200pt, 23 Solves)  カメラに向かって卒業証書を見せる下りがある  その時に卒業証書からLast Nameを確認したい  解像度が荒く見えない  1コマずつ確認したが、どうしても写りの良いフレームがなかった SOLVED

waitress(200pt, 23 Solves)  Google検索でFirst Nameと適当なLast Nameの組み合わせ をいくつか試した結果、本人のLinkedInアカウントが 出てきた  経歴のところにwaitressの経歴があった  この店の名前がフラグ SOLVED

waitress(200pt, 23 Solves)  この問題は実はこんなに大変ではない(200ptだし…)  他の方の解法を見ると、サービスの検索だけで本人にたど り着ける模様  LinkedInの大学グループを検索  facebookで大学の卒業式を検索  私はGoogle Dorksだけで済ませようとしたために遠回りを する羽目になってしまった… SOLVED

soar to new heights(300pt, 12 Solves) UNSOLVED

soar to new heights(300pt, 12 Solves)  バスはあまり関係なく場所が大事  Cold Springsと書かれている  ネバダ州にある町  “elementary school Cold Springs, NV ribbon-cutting ceremony” で duckduckgoで検索すると記事が出てくる  Hundreds gather for ribbon cutting at new elementary school  https://thisisreno.com/2021/08/hundreds-gather-for-ribbon-cutting- at-new-elementary-school/  記事内で”widow”の名前があるのでこちらがフラグ  なお、運営の方は問題(英文の方)に ”ribbon-cutting ceremony”という単語を 入れたことに思う所がある模様 UNSOLVED https://twitter.com/awamori_tt/status/1452475721629110277

Afghanistan(500pt, 5 Solves)  この店の２件隣にある店の名前を英語表記で答えよ UNSOLVED ※CTFサーバ上での問題名はAfganistanだったがスペルミスだと思うので直している ※ https://twitter.com/maharrmocharo/status/1426911665161969669

Afghanistan(500pt, 5 Solves)  アフガニスタンはGoogle Street Viewで見ることができな い  一応 理容室のfacebookは見つけるもそこから辿ることが できなかった  Taj Beauty Salon | Facebook  https://www.facebook.com/Tajbeautysalon.official/ UNSOLVED

Afghanistan(500pt, 5 Solves)  『セキュリティマネジメントカンファレンス 2021 夏』で 杉浦さんがアフガニスタンに対してSNSを使ってどうOSINT するのかを話していたのを思い出す  当時の講演メモを確認↓  何もメモしていないに等しい!＼(^o^)／  次回あったら、もっと注意してメモろう… UNSOLVED アフガニスタン パシュトー語、ダリー語 が使われている https://www.sbbit.jp/eventinfo/64691#modal-25

Afghanistan(500pt, 5 Solves)  write-upを見ると、YouTubeの動画を見つけるようだ  Afghanistan: Beauty salons shut their doors due to fear of Taliban - YouTube  https://www.youtube.com/watch?v=kBnfIHW15do&t=63s  後日、自分でもYouTubeで調べてみた  “woman photo In Kabul”とかで調べると他にも出てくる  Taliban's war against women: Images of women vandalised outside beauty salons in Kabul | World News - YouTube  https://www.youtube.com/watch?v=r6m8oHbtpvk  Images of Afghan women erased from view as Taliban consolidate power - BBC News - YouTube  https://www.youtube.com/watch?v=GWc48ZC7YKY  要はYouTubeをソースとして調べたかが分かれ道だった UNSOLVED

CTFの振り返り

最終順位  CTF終了5分前にフラグをゲットできたことで3位  諦めなくてよかった 我々のチーム

3位は妥当な結果?  2～6位間で実力は拮抗していた  どのチームがどの順位でもおかしくなかった  実力の上での運だった

自分の振り返り  良かった点  xINT CTFを見据えて1年 継続してOSINTの勉強をした  チームを組めたこと  チームが入賞の前提になっていた  チームを組んでくださる方が現れたのは本当に良かった  チームワークが機能するように事前に打ち合わせをしていたこと  改善点  根性に頼りすぎた  SNSの検索技術力が低かった  卒業証書の問題は本来はサクッと解けたはず。  もうすこしOSINT技術力をつけて時間の節約をしたい  配点が高い問題に身構えすぎた

競合相手に関して  OSINTガチ勢が大量になだれ込んできた印象  杉浦さんのバズったツイートおよび、バズったついでの宣伝ツ イートが要因として見ている  大事なのは、xINT CTFがOSINTのコンテストであるとOSINTガチ勢に 周知されたこと https://twitter.com/lumin/status/1446848511564136452 https://twitter.com/lumin/status/1446831700856565764

おわりに

2021年度のOpen xINT CTFの感想  企画・作問・運営のTeam pinjaには最大限の感謝  本当にありがとうございます  日英両方の文で作問、解答サーバの運営、プレイヤーの監視作業…挙げ 出したらキリが無いご尽力の上で毎年楽しませていただいております  運の要素もあったが3位という成果は素直に嬉しい  Open xINT CTFは個人的に一番好きなCTFなので喜びもひとしお  チーム名が「Security for beginners」ということで勉強会 にも恩を報いることができたことも嬉しい

次のOpen xINT CTFについて  2022年度の開催も前向き  本当に嬉しい  AVTokyoが現地開催に戻る?  個人戦になるか  1位を目指して次の1年もOSINT CTFの勉強を継続する https://twitter.com/pinja_xyz/status/1451867850000330752

まとめ  Open xINT CTFの内容、取り組み方、問題の解き方につい て説明した  自分の技術課題が新たに見つかったので次回のxINT CTFに 向けて今後もOSINTを勉強していく  OSINT CTFは楽しい!

ご清聴ありがとうございました @meow_noisy

ふろく: 勉強会での質疑  Q1. 業務でAIの保守運用を担当しているようだがセキュリ ティはどのように見えるのか  AIに対する攻撃は実証されているものの対策優先度は性能要件に比 べて低い。ただしセキュリティの情報収集は毎日している  あと、会社的にはAI開発だけでなくAIを動かすWebアプリ開発もカ バーすることが求められている気がするので、個人的にセキュリ ティの重要度が高まっている  Q2. 音に関するOSINT問ってある?  ある。Cyber Investigator CTFでは環境音の中で流れる音楽の タイトルを特定する問題があった