CTFにおけるOSINT問題作問の難しさ

CTFにおけるOSINT問題作問の難しさ (OSINT中心のCTF・TsukuCTFを主催記) xryuseix

自己紹介 • 立命館大学上原研究室 B4 • SosaiLTは2回目です • IT企業でアルバイトをしています •
最近はずっとスプラトゥーンをやっています • 卒論が終わりません石川琉聖 (id:xryuseix) 　@ryusei_ishika 2

INDEX 3 1. CTFにおけるOSINTとは 2. TsukuCTFについて 3. CTFにおけるOSINT問題作問の難しさ4選 4. おわりに
スライドを作りすぎました。サクサク進みます。

1. CTFにおけるOSINTとは OSINT(Open Source INTelligence) : 一般に公開されている情報源からアクセス可能なデータを収集、分析、決定する諜報活動の一種 ※1 ※1
https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/41.html 画像 https://osintframework.com 【CTFで頻出の内容】 • 画像から場所の特定 (geOSINT) • 特定の人物・企業を調査 (HUMINT) • サーバやドメインの調査【OSINTの有名なCTF】 • Open xINT CTF (AVTOKYO併催CTF) • Recon Village OSINT CTF (DEFCON併催CTF) • Cyber Detective CTF (常設CTF) 4

2. TsukuCTFについて • OSINT中心のCTF (OSINTが5~8割) • 過去に2021/09, 2022/10 の2回開催 •
SecHack 365の修了生が運営 • 2022の参加者数は652人、総提出回数は13000回以上 5

2. TsukuCTFについて Q. この場所は？ Q. この人の使用している外部サービスを調べてください 6 A. ポスターの文字を文字起こし
　→ Baidu Imageを使う　→ 中国の「華南理工大学」だとわかる A. xeuledocを用いてEmailを取得　→ GHuntを用いてGoogle Map垢を取得　→ Google Map垢にTwitter IDが記載　→ sherlockを用いて Traktを使用していることがわかる

3. CTFにおけるOSINT問題作問の難しさ 1/4 実在する人物を使いにくい 7 実在する人物をテーマに作問すると肖像権+諸々の問題が出やすい架空の人物を作成し、整合性が取れるように情報をインターネット上に配置する or
勝手に使っても怒られなさそうな人を使用する (有名人、かつ誹謗中傷しないような問題 ) 方法 1 方法 2 ex. 氏名、メアド、生年月日、人物像などを決めてアカウント・ Webサイトを作る ex. 大統領、有名企業社長、有名俳優など。スクープ系や意図せず漏洩された情報などは × 問題

2/4 戦争や宗教に触れにくい 8 問題正解するために悲惨な情報や写真にアクセスしてしまう例: Open xINT CTF 2022
tank 「この場所の戦車の位置を求めよ。」画像 https://twitter.com/huruank/status/1352248366143574020 ※2 https://twitter.com/YuhoKameda/status/1586534107777216512 主催者(@YuhoKamedaさん)の回答 ※2 “ 時事ネタの出題の難しさは理解しているつもりで、 OSINTって最も活用される軍事系とは切り離せない面もあって取り入れた結果となっています。災害の歴史とかも考えたんですが他分野でも代替できるだろうと考え避けた経緯もあります。 ” 3. CTFにおけるOSINT問題作問の難しさ

3/4 地名の偏り 9 問題特定の地域に住む参加者が非常に有利になってしまう(geOSINT) 運営陣は 10 人以上かつ移住地がさまざまだった運営陣の家の近くや
旅行先などを積極的に使用した ※現在はまだ日本人が有利 3. CTFにおけるOSINT問題作問の難しさ

4/4 答えの証明 10 問題インターネット上の情報が全て正しいとは限らないなので出題できるのはこの辺りです • データとして保存されているもの ◦ 写真を撮った時刻・座標など
• 作問者が自分で作成したもの ◦ Webサイト、SNSアカウントなど • 信頼できる情報源から発信されたもの ◦ 政府機関などの公的機関から発信されたもの • 特定のコマンド・ツールの出力結果 ◦ whoisコマンド・GHuntなど ◦ 開催期間中は出力結果が一定である事を保障すべし 3. CTFにおけるOSINT問題作問の難しさ

4. おわりに TsukuCTF 2023 開催準備中です 2023年9, 10月あたりに1~2日間の開催を予定しています！続報はこのTwitterアカウントをフォローしてお待ちください！ @tsukuctf 11

CTFにおけるOSINT問題作問の難しさ

CTFにおけるOSINT問題作問の難しさ

Ryusei Ishikawa

More Decks by Ryusei Ishikawa

Other Decks in Programming

Featured

Transcript

CTFにおけるOSINT問題作問の難しさ (OSINT中心のCTF・TsukuCTFを主催記) xryuseix

自己紹介 • 立命館大学上原研究室 B4 • SosaiLTは2回目です • IT企業でアルバイトをしています •

INDEX 3 1. CTFにおけるOSINTとは 2. TsukuCTFについて 3. CTFにおけるOSINT問題作問の難しさ4選 4. おわりに

1. CTFにおけるOSINTとは OSINT(Open Source INTelligence) : 一般に公開されている情報源からアクセス可能なデータを収集、分析、決定する諜報活動の一種 ※1 ※1

2. TsukuCTFについて • OSINT中心のCTF (OSINTが5~8割) • 過去に2021/09, 2022/10 の2回開催 •

2. TsukuCTFについて Q. この場所は？ Q. この人の使用している外部サービスを調べてください 6 A. ポスターの文字を文字起こし

3. CTFにおけるOSINT問題作問の難しさ 1/4 実在する人物を使いにくい 7 実在する人物をテーマに作問すると肖像権+諸々の問題が出やすい架空の人物を作成し、整合性が取れるように情報をインターネット上に配置する or

2/4 戦争や宗教に触れにくい 8 問題正解するために悲惨な情報や写真にアクセスしてしまう例: Open xINT CTF 2022

3/4 地名の偏り 9 問題特定の地域に住む参加者が非常に有利になってしまう(geOSINT) 運営陣は 10 人以上かつ移住地がさまざまだった運営陣の家の近くや

4/4 答えの証明 10 問題インターネット上の情報が全て正しいとは限らないなので出題できるのはこの辺りです • データとして保存されているもの ◦ 写真を撮った時刻・座標など

4. おわりに TsukuCTF 2023 開催準備中です 2023年9, 10月あたりに1~2日間の開催を予定しています！続報はこのTwitterアカウントをフォローしてお待ちください！ @tsukuctf 11