まず、初島の存在に気づき、撮影地は熱海らへんだろうと推測をたてる。

次に、 写真中段右に映っている建物をgoogle lensにかける。すると、この建物がエンゼルシーサイド南熱海なるマンションであることがわかる。googlemapで初島とエンゼルシーサイド南熱海がこの角度で見えそうな方向をあたると、ちょうどよい感じのところに線路が見つかる。線路の座標を取得すると、それが答えとなる。

「5-3636」、「o.ed.jp」という文字が読み取れるため、とりあえず「"3636" site:ed.jp」で検索する。すると、会津若松市にあるとうみょう子ども園という施設が先述の条件を満たすことがわかる。

周囲を散歩してみると、全く同じ看板を見つけることができた。この地点の座標が答え。

後景をgoogle lensにかけると伊丹空港であることがわかる。ゆえに答えは「ITM」。google lensってすごいですね。

とりあえず画像検索を試みるも、撃沈する。「榴莲王 利陞」と書いているため、これをもとに検索すると、これがシンガポールにあるドリアン専門店の屋号であることがわかる。

ストリートビューでこの店舗を見てみると、写真に映っているものと同じオブジェを発見（同時に、画像検索がうまく機能しなかったのは、これが裏側から撮った写真ゆえであることも判明する）。オブジェらへんの座標を取得し、答えとする。

写真をgoogle lensにかけると、ここがクアラルンプール国際空港であることがわかる。よって答えは「KUL」。google lensってすごいですね。

aguse.jpでこのアドレスを調べてみたところ、「https://157-7-107-89.virt.lolipop.jp」にホストされていることがわかった。答えは「lolipop.jp」。
ロリポップとムームードメインが覇権を取っていた往時のインターネットを懐かしんだ。

画像のプロパティを見ると、2022年1月28日の撮影と書いてあり、それがそのまま答えだった。

関連ワードで調べてみると、BBCの記事がヒットする。この記事から、Fidias Panayiotouという方がアップロードした「I Travelled Across Japan For Free」という動画であることがわかる。元動画はすでに削除されているが、youtubeにはいくつか再アップロード動画がある。そのうちのひとつを参考に、FNNの記事のキャプチャ画面が2:56のものであることをメモする。

次に、元動画のURLを探す。調べたところ、IMDbに、動画のIDが「Dg_TKW3sS1U」である旨が記載されていた。2つの情報を組み合わせると、「https://www.youtube.com/watch?v=Dg_TKW3sS1U&t=176s 」が答えであることがわかる。

google lensで検索すると、これが太陽公園の「城のエリア」であることがわかる。小数点以下3桁と、求められる精度がゆるめであったため、真ん中あたりの座標を取得する。これが答えとなった。

まあ言の葉の庭とかじゃないかな…と思って入力したところ、そのままcorrectした。ほかのwriteupを見ても勘で正答に至っている人が多く、まあそうですよねという気持ちになった。

google lensで検索したところ奥に見えている橋は那須塩原市の「もみじ谷大橋」で、写真はその道中であることがわかる。

道路の白線を頼りにgoogle mapでそれらしいところにあたりをつけ、ストリートビューで確認する。

奥に日能研の看板が見える。また、ロクシタンのロゴが反射している。これらの情報から、撮影地が国内のまあまあ大きめの商業施設であることが予想される。日本のショッピングセンター一覧 - Wikipediaを流し見すると、「阪急西宮ガーデンズ」という施設があることがわかる。

ロゴを確認すると、「正しく表示されているときに書かれている施設名」が「NISHINOMIYA GARDENS」であることがわかる。これが答え。

与えられたファイルは以下のような構成になっている。

• main.asm アセンブリ言語のファイル
• main.cfg 何らかのビルド設定ファイルのようなファイル
• character.bmp 文字などが書かれた画像ファイル（上記画像はこれをトリミングしたもの）

アセンブリ言語を調べているとPPUなる文字があったので、画像の雰囲気と合わせて、ファミコンのコードではないかと予想。コード内の特徴的な単語で検索すると実際あっているようだった。以前、ファミコンのアセンブリを書いてみようといろいろ調べてみたことがあったのでこのような神通力が使えた。

問題文的にはおそらく、コードを解析して、タイトルに出る文字を「予想」することが想定されているのだろう。ただ、main.cfgも与えられているし、めんどくさいので、エミュレータで動かせそうという方針で解くことにした。

実はこの問題、入手可能なアセンブラでROMデータを作成し、エミュレータで簡単に実行できてしまうのだ。この点から問題文は嘘であることがわかる。父は昔プログラマーなのでなく、現在進行形のコンピュータのおたくである。息子（娘）を試しているのだ。

アセンブラとエミュレータは以下のものを使う。

• アセンブラ: cl65 https://cc65.github.io/
• エミュレータ: FCEUX https://fceux.com/web/download.html

以下のコマンドでROMファイル(*.nes)ファイルを作成できる。

/path/to/cl65 -t nes -C main.cfg main.asm -o main.nes

作成したmain.nesをFCEUXで実行すればよい。

しかし、流石にこの問題はそこまで簡単ではない。この問題ではmain.asmの最後の行でcharacter.chrを参照しており、このファイルは与えられていないからだ。一方で、character.bmpは与えられている。神通力でこのファイルをchr形式に変換すればいいと考えた。

いろいろ試行錯誤しているとbmp2chrというその通りのツールを発見した。このツールは128*128の8bit Bitmapをchrに変換してくれる。与えられた画像をトリムし、8bit bitmapに変換すると、character.chrを生成できた。

こちらがフラグとなる。

「紙」ことテキストファイルにはコマンドの履歴が書かれている。

この問題は3秒で解ける問題である。

1. どうみてもUNIX LIKEなOSであろう
2. calコマンド結果が1971年を指している

答えを書くまでもない。去年のPDP-11問題を思い出した。

google lensにかけると、別府市にある「大分香りの博物館」が撮影地であることがわかる。この座標を取得すると答えになる。

写真から、これが松阪市にある「つくし不動産」の管理物件であることがわかる。この会社が所有している物件を公式サイトからさらっていくと、伊勢SIビルが撮影地らしいことがわかる。不動産業者のサイトいわく、築年月は1983年3月であり、それが答え。

このようなフォレンジック問題では最初にFotoForensicsをかけるのが定石だと（個人的に）思っている。

メタデータを調査すると、「C2PA」という技術が使われていることがわかる。C2PAは生成AIなどによって起こりうる問題を解決する（生成AIによって作成された画像に透かしを入れる）ということで注目されている署名技術である（参考）。

そこで、「c2patool」というツールで署名データの詳細を調査する。このツールを使うとおのずとフラグがわかる。

自分はAI×セキュリティには以前より関心があり、C2PAのような技術をテーマにした出題が行われて少しうれしかった。こういった話に興味がある若い方は、セキュリティキャンプのAIセキュリティコースにぜひ応募してみてほしい。面白いよ。

写真から、撮影地が那覇市の「au style naha」近辺であることがわかる。ストリートビューをみると、「端っこしか写ってない」像がシーサーであることがわかる。

google mapいわく、このauは「パレットくもじ」というモールの一店舗であるようなので、「パレットくもじ　シーサー　寄贈」と検索してみる。すると、このようなツイートがヒットする。上原清善さんという地域の名望家が、那覇市政70周年を記念して寄贈したものであるらしい。よって答えは「上原清善」。

正規表現パズル。もちろんこれはOSINT問であり、クロスワードを解くことは求められていない（はずである）。「正規表現　クロスワード」で検索すると、ねとらぼの記事がヒットする。会津大学の学食のナプキンらしい。次に、「会津大学　正規表現　クロスワード」で検索すると、解答を記した個人ブログが見つかる。

クロスワードを解くと、このナプキンを作ったのが「Eyes, Japan」という会津若松市内の企業であることがわかる。会社概要より、本社オフィスの郵便番号は「965-0872」。これが答えとなる。

目を凝らすと、上の方に数ピクセルほどyoutubeの画面が見える。よって答えは「youtube」。RISに依存し、画像そのものを虚心坦懐に調べないOSINT者を戒めるための問題。

※RIS = Reverse Image Search

高校日本史を懐かしみながら、wikipediaの「磐井 (古代豪族)」の記事を読む。その子孫に「筑紫薩夜麻」という人物がいるらしく、これが答えだった。問題の詳細についてはwikipedia「九州王朝説」を参照のこと。なんなんですかこの問題？

窓から見える橋を切り取り、google lensにかけると、これが札幌市の定山渓大橋、撮影場所が定山渓ビューホテルであることがわかる。google mapの航空写真をみながら、ちょうどよさそうな座標を探すと答えが得られる。

みんな大好きWiresharkでpcapngファイルを開く。問題文からTLSで暗号化されていない場合にWebサービスを利用したのだろうと推測。HTTPのデータを探し、Authorizationヘッダを探すと見つかった。

「newgin 専用駐車場」という文字が見える。パチンコの筐体メーカーらしい。都市規模を勘案しつつ、会社概要に掲載される事業所一覧を調べていくと、ニューギン販売の鹿児島事業所であることがわかる。google mapを見ながら、それらしい地点の座標を取得すると、それが答えとなる。

木の影でかなりわかりづらいが、巨大なアンテナらしきものがある（電子望遠鏡）。Wikipediaの「日本の電波望遠鏡一覧」を参照する（問題文より日本国内に限定される）。この一覧には口径が記載されているので画像からなんとなく当たりをつけた大きさの望遠鏡がある観測所の航空写真をgoogle mapで確認する。テニスコートと望遠鏡の位置関係から、国立天文台水沢観測所であることがわかる。

これもチームメイトに阪神百貨店であることを教えてもらう。検索すると、記事が確認できるのでそれらしきポイントの座標を提出。

チームメイトからVALORANTというゲームの「Sunset」であることを教えてもらう。実際の土地の緯度経度が示されている。これをフラグフォーマットに沿うように加工して提出。

ステッカーから場所の同定は困難と判断。奥の車（熱海プリン）と建築物（FUJITEC）に注目する。車は熱海プリンのもので、熱海プリンは熱海市内に数店舗ある。各店舗の航空写真を確認するが画像に一致する場所は見当たらない。そこで熱海市内のFUJITECの事務所を検索するが、住所は公開されていなかった（FUJITECのサイトから熱海にサービスセンターがあることが確認できるが、住所は公開されていない）。熱海プリンの車に焦点を当て検索すると、どうやらキッチンカーの用途で使用されているようでないことがわかる（各店舗間の輸送に使用されていると推測）。よって画像は熱海プリンの店舗のいずれか付近であることがわかるので、航空写真やストリートビューをもう一度確認するとFUJITECのサービスセンターが入居するマンションの外壁に似る建物を発見。画像にある祠？も発見できた。この祠？は熱海七湯 河原湯であった。

画像をgoogle、Bing、Yandexで画像検索にかける。するとbingにて同じ器が使われたうどんの画像が確認できる。この画像は「肉讃岐 甚三うどん 神田店」の食べログに投稿されたものであることがわかる。このうどんチェーンは都内に5店舗を有する。卓上の調味料などからこのチェーンであると推測し、すべての店舗を確認するとその1つが答えとなる（どの店舗か忘れた）。

（余談）海外から参戦したので日本のうどんが非常に恋しくなった。早く帰国したい泣

チームメンバーが「情報流出データが掲載されている」という問題文より『pastebin (https://pastebin.com/) 』ではないかと推測したため、pastebinにて投稿ID「KL34A01m」をpastebin.com/以下に直打ちする。すると
同IDの文章（個人情報のファイル）が存在することがわかる（https://pastebin.com/u/gemini6152 ）。この投稿したユーザ名「Gemini6152」をgithub上で検索しても答えには辿りつけない。そこで、このユーザの別の投稿（TsukuCTFのロゴAA）のファイル名「Tsuine」をgithub上で検索すると、同じロゴAAを投稿するアカウント「gemini5612」があるのでそれを提出。

（リーダーから補足）解いてもらったチームメンバーはプログラミングにあまり詳しくないので「AA」という語を使っているが､最終的に入手できるRubyスクリプトはQuine（コード自身を出力するコード）となっている。TsukushiのQuineなのでTwin？Tsuine？

チームメンバーが、

• この焼き物は「小鹿田焼」だろう（神通力）
• 小鹿田がある日田市やその周辺地域（九州小京都）では鯉のあらいが名物

までわかったに解けない！！ということで助けに入る。

問題文の「初めて食べた」を活用していないことに気づき、Ｘ（旧: Twitter）やInstagramで「鯉のあらい　初めて」などで検索。すると同じお皿に同じ料理の写真が見つかる（一般人の投稿なので掲載しません）。

その写真には店名入りの割りばしの袋が写っていたので、そのお店の電話番号をいれてcorrect!

なお、特徴的な陶器の模様は「飛び鉋」というそうだ。

$ make
cc main.o one.o -no-pie
/usr/bin/ld: main.o: in function `main':
main.c:(.text+0x8b): undefined reference to `a'
/usr/bin/ld: main.c:(.text+0x92): undefined reference to `b'
collect2: error: ld returned 1 exit status
make: *** [Makefile:4: all] エラー 1

エラーを調べてみると、main.oのシンボル（関数）が未定義であるそうだ。シンボルはnmコマンドで確認できる。

$ nm main.o
                 U a
                 U b
                 U c
0000000000000000 T main
                 U one_init
                 U printf
                 U puts

大文字のUは未定義であることを示す。ところで、エラーはaとbについてのみでcについては出ていない。gccでは後続のオブジェクトファイルにシンボルが定義されていれば、それを利用する仕組みがある。つまり、

$ nm one.o
0000000000000008 b a
0000000000000010 b b
0000000000000000 B c
0000000000000000 T one_init

ここで、大文字Bはパブリックシンボル、小文字bはローカルシンボルを表している。パブリックであるcはgccがリンクしてくれるが、a,bはローカルなのでリンクできないということになる。

色々調べた結果、

$ objcopy --globalize-symbol a one.o global.o
$ objcopy --globalize-symbol b global.o global.o
$ nm global.o
0000000000000008 B a
0000000000000010 B b
0000000000000000 B c
0000000000000000 T one_init

とするとシンボルのスコープを変更できることが分かった。つまり、

gcc main.o global.o -o main
$ ./main
flag is 120

が答えである。

無知だったがStack Overflowを検索しまくって答えまでたどり着けた。
objdumpで逆アセンブルして手計算する方法でも解けそうだけど、やった人いるのだろうか・・・？

自分より詳しい他の方がたくさん解説を書いていると思うので勉強になったなぁと思うことや要点をまとめる。

1. ファイルパスの/は何個でも書ける

# どちらも同じ結果になる
f = open("./memo/flag", "rb")
f = open("./memo/////flag", "rb")

2. Pythonのbase64.decode()はデフォルトでデコードできない文字を無視する

import base64
flag = "f-l-a-g".encode()
x = base64.b64decode(flag)
s = base64.b64encode(x).decode()
>>> s
'flag'

validate=Trueとすると、無視せず例外を投げてくれるそうだ。また、decodeは文字数が4の倍数でないと失敗する。

3. Postリクエストは直接送信できる

Postmanというソフトを用いて、POSTリクエストをrawモードで送信する。
フォームの値の場合は、
name=value
のようにbodyを構成すればよい。
今回の問題ではreadもwriteも
content=payload
これによりフロントエンドが悪さをするのを完全無視できる。

これらを踏まえて配布されているコードを熟読すると、

1. サイトトップに接続してセッションを初期化する
2. /writeにcontent=%ff%ff%ff%ff%ff%ff~V%a0を送る
3. /readにcontent=////////f--------------------------------lagを送る

とすると、レスポンスでflagを入手できた。もっと短くできそうではある。