TsukuCTF 2023 運営参加記
この記事は、shio After Advent Calender[1] 4日目の記事です。
3日目の記事はこちらです。
TsukuCTF とは
2021年から開催している主にOSINTが出題される初心者向けCTFです。
公式X: https://twitter.com/tsukuctf
公式WriteUp: https://tsukuctf.org/ctf
https://twitter.com/tsukuctf/status/1733819317907763204[2]
TsukuCTF 2023 概要
2023/12/09 12:20(UTC+9 )から 2023/12/10 18:00(UTC+9)にかけて
29時間40分開催しました。[3]
700以上のプレイヤーと450以上のチームに参加していただきました。[4]
ありがとうございます。
39問が出題されました。[5]カテゴリ別は以下の通りです。
- Welcome: 1
- OSINT: 30
- Crypto: 1
- Rev: 1
- Web: 3
- Misc: 3
チャレンジごとの正答率は以下の通りです。
少し壁ができてしまっていますが、今年も良い感じになったと思います。
作問した問題についての感想
[OSINT] fiction
難易度: Easy
ゲームの問題をいつか出したいと思っていました。
本当はゲーム内の座標を求めるようにしたかったのですが、ゲームをインストールする手間を考慮してやめました。
代わりに、現実世界の座標と紐付いているVALORANT[6]で出題しました。[7]
調べればすぐに分かると思いEasyにしたのですが、正答率はかなり低かったです。[8]
現実世界の画像でなく、困惑させてしまったかもしれません。申し訳ないです。
また、誘導を少なくしてCTFらしくあっさりした問題文にしたのが良くなかったです。
余談ですが、画像の場所はSUNSETと呼ばれるマップで、この後に紹介する[OSINT] sunsetと同じ名前であるのが気に入ってます。
[OSINT] tsukushi_no_kuni
難易度: Easy
AVTOKYOで開催されているOpen xINT CTFでは、様々な種類のOSINT問が出題されています。
その中に文字ベースの問題が毎年あります。
TsukuCTFではよく画像から座標を特定する問題ばかりでした。
そこで、今年は文字ベースの問題に挑戦してみました。
しかし、完成度はあまり高くないと思います。がんばるます。
[OSINT] laser
難易度: Easy
たまたまボヤケた写真が取れてGoogle Lensで出ない問題が作れました。
しかし、時間が経つにつれて情報が増えたのか出るようになってしまいました。
開催当日、急いでEasyに下げました。[9]
[OSINT] annoynace
難易度: Easy
ニュースになってた、海外の迷惑ユーチューバーです。
話題性があり、動画が削除されている状況が面白いと勝手に思っていました。
しかし、現実は酷評が多く、反省です。
たしかに、調べる過程で不快になるのは考えるべき要素の1つであると思います。
次は良い感じな作問ができるように頑張ります。
[OSINT] hunter
難易度: Medium
欠損しているメールアドレスを特定する問題です。
MXレコードを確認しても良いのですが、GHuntを使った方が早いです。
また、名前を確認するときにGHunt等のOSINTツールを使います。
かなり単純であるので、簡単に解かれてしまうのではと思っていましたが、こちらも正答率はそこまで高くありませんでした。
画像を減らして、ツールを使う問題の割合を増やしていきたいです。
[OSINT] sunset
難易度: Hard
提出回数が3回に制限されている問題です。
画像の撮影時刻を特定するのですが、そこそこ難しいと思います。
おそらく誰も計算していなかったのが少し悲しかった...[10]
楽しんでいる人も多くいましたが、批判的な意見も多かったです。
提出回数制限があるため、提出時に確認ダイアログの実装を予定していましたが、間に合いませんでした。次は実装します。
ちなみに、よくある間違った提出として日の出時刻を解答している人が多く見られました。
日の出時刻は、太陽が沈みきった時刻なので、画像はそれよりも前に撮影されています。
[OSINT] udon_2023
難易度: Hard
うどんのお店を特定する問題です。
思ったよりも良い反応が得られて、嬉しいです。
2023と付いているようにTsukuCTF 2021で同じような問題を出しました。
st98さんのwriteup[11]にもあります。
このときは、カレーうどんを求める問題で難易度がeasyでした。
当時はGoogle Lensがそこまで有名ではなく、しかし作問チェックでは使われていました。
そこですぐに出たため、easyと設定してしまいました。これが間違いでした。
OSINTでは一番solves数が少ない問題、全体でも3番目に少ない問題となってしまいました。
2位のTSG[12]は、この問題だけが解けずに全完を逃してしまいました。
このときは、本当にすみませんでした...
そして、2023年にまた出したいなと思っていたら、たまたま1週間前にできました。
しかし、今度は2021,2022に全完して優勝していたst98さんがこの問題だけ解けずに全完を逃してしまいました...
歴史は繰り返されます。なんか申し訳ないです。
アンケートへの回答
pwnの問題が一問も無くて悲しい
今年は色々と忙しく、OSINT以外のジャンルが充実していなかったので、次は改善します。
画像以外のOSINT問を増やしてほしい
2023は、2021と2022に比べて増やしています。
しかしながら、今年はOSINTの割合が多くなってしまい、画像の問題も増えてしまいました。
来年は、OSINTの問題数を減らすことを検討しています。
フォーマットを統一した方が良い
開催前に気づいていましたが、間に合いませんでした。
来年は作問ルールを作成して、統一させたいと思っています。
free_riderが不快だった
申し訳ありません。
SECCON Beginners関連のイベントだと思いました
本CTFは、SecHack365の修了生が運営しています。
しかしながら、SecHack365、セキュリティ・キャンプ、SECCON等とは一切関係がありません。
もし勘違いさせるような表現がありましたら、申し訳ありません。
おわりに
今年も無事に開催できることができて良かったです。
去年に比べて、チケットシステムなど細かいところを改善できたと思います。
参加していただいた方々、本当にありがとうございました。
12/9は海外の大きなCTFがあり、海外の参加者の方は減った気がします。
一方で、日本の参加者が大きく増え、有名なチームを含め多くの方々に参加していただきました。
TsukuCTFは初心者向けのCTFと書いている通り、簡単な問題が多いです。
特にOSINTは技術的知識があまり要求されず、頑張れば解けることもあります。
最近のCTFは難化しており、新規参入が難しくなっています。
ほとんどのチームが1問も解けないということもよくあることです。
これではモチベーションが維持できず、すぐにやめてしまいます。
そこで、TsukuCTFにてflagを獲得する楽しさを感じてほしいと思っています。
そして、OSINTだけでなく、WebやCryptoといったところにも興味を持っていただけたら嬉しいです。
これを達成するためにも、次はもっと他のジャンルを充実する必要があります。
来年はいつ開催できるかまだ決まっていませんが、鋭意準備中です。
改めまして、ありがとうございました!次回も参加していただければ幸いです。
Discussion