Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFにおけるOSINT問題作問の難しさ

 CTFにおけるOSINT問題作問の難しさ

CTFにおけるOSINT問題作問の難しさ
(OSINT中心のCTF・TsukuCTFを主催記)

総関西サイバーセキュリティLT大会(第36回)
https://sec-kansai.connpass.com/event/263219/

Ryusei Ishikawa

December 14, 2022
Tweet

More Decks by Ryusei Ishikawa

Other Decks in Programming

Transcript

  1. 自己紹介 • 立命館大学 上原研究室 B4 • SosaiLTは2回目です • IT企業でアルバイトをしています •

    最近はずっとスプラトゥーンをやっています • 卒論が終わりません 石川琉聖 (id:xryuseix)  @ryusei_ishika 2
  2. 1. CTFにおけるOSINTとは OSINT(Open Source INTelligence) : 一般に公開されている情報源からアクセス可能な データを収集、分析、決定する諜報活動の一種 ※1 ※1

    https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/41.html 画像 https://osintframework.com 【CTFで頻出の内容】 • 画像から場所の特定 (geOSINT) • 特定の人物・企業を調査 (HUMINT) • サーバやドメインの調査 【OSINTの有名なCTF】 • Open xINT CTF (AVTOKYO併催CTF) • Recon Village OSINT CTF (DEFCON併催CTF) • Cyber Detective CTF (常設CTF) 4
  3. 2. TsukuCTFについて • OSINT中心のCTF (OSINTが5~8割) • 過去に2021/09, 2022/10 の2回開催 •

    SecHack 365の修了生が運営 • 2022の参加者数は652人、総提出回数は13000回以上 5
  4. 2. TsukuCTFについて Q. この場所は? Q. この人の使用している 外部サービスを調べてください 6 A. ポスターの文字を文字起こし

     → Baidu Imageを使う  → 中国の「華南理工大学」だとわかる A. xeuledocを用いてEmailを取得  → GHuntを用いてGoogle Map垢を取得  → Google Map垢にTwitter IDが記載  → sherlockを用いて Traktを使用していることがわかる
  5. 3. CTFにおけるOSINT問題作問の難しさ 1/4 実在する人物を使いにくい 7 実在する人物をテーマに作問すると肖像権+諸々の問題が出やすい 架空の人物を作成し、 整合性が取れるように 情報をインターネット上に配置する or

    勝手に使っても 怒られなさそうな人を使用する (有名人、 かつ誹謗中傷しないような問題 ) 方法 1 方法 2 ex. 氏名、メアド、生年月日、人物像 などを決めてアカウント・ Webサイトを作る ex. 大統領、有名企業社長、有名俳優など。 スクープ系や意図せず漏洩された情報などは × 問題
  6. 2/4 戦争や宗教に触れにくい 8 問題 正解するために悲惨な情報や写真にアクセスしてしまう 例: Open xINT CTF 2022

    tank 「この場所の戦車の位置を求めよ。」 画像 https://twitter.com/huruank/status/1352248366143574020 ※2 https://twitter.com/YuhoKameda/status/1586534107777216512 主催者(@YuhoKamedaさん)の回答 ※2 “ 時事ネタの出題の難しさは理解しているつもりで、 OSINTって最も活用される軍事系とは切り離せない 面もあって取り入れた結果となっています。 災害の歴史とかも考えたんですが他分野でも 代替できるだろうと考え避けた経緯もあります。 ” 3. CTFにおけるOSINT問題作問の難しさ
  7. 4/4 答えの証明 10 問題 インターネット上の情報が全て正しいとは限らない なので出題できるのはこの辺りです • データとして保存されているもの ◦ 写真を撮った時刻・座標など

    • 作問者が自分で作成したもの ◦ Webサイト、SNSアカウントなど • 信頼できる情報源から発信されたもの ◦ 政府機関などの公的機関から発信されたもの • 特定のコマンド・ツールの出力結果 ◦ whoisコマンド・GHuntなど ◦ 開催期間中は出力結果が一定である事を保障すべし 3. CTFにおけるOSINT問題作問の難しさ