この記事はCTF Advent Calendar 2025の18日目の記事です。 そしてどちらかと言えば怪文書です。
皆さんはCTFについて、どのようなイメージを持っていますか? 多くはコンピュータセキュリティの問題を解いて得点を競う競技という答えが返ってくると思います。
しかしルールが複雑だったり、規模が大きかったりなどの理由で、「直接問題を解く」より外側で何かしらの最適化が必要になるCTFというものが世の中にはあります。
順位を1つでも上げるためには、競技に向けた準備やパフォーマンスを最大化するための施策が重要です。 CTFの結果を良くするための準備や支援のことを指して、タイトルでは兵站寄りの意味で「ロジスティクス」という語を使っています。
この記事では、ロジスティクスがCTFにおいて必要になるシーンを実例を交えて紹介していきたいと思います。 あわよくばCTFはできないけど準備を手伝ってみたい……みたいな人を引き込めればいいなと思っています。
普段のCTF
比較のために至って普通のCTFについて触れておきます。
オンラインのJeopardy形式のCTFでは、パソコンの前に座ってスコアサーバーへアクセスするだけでCTFを始められます。 強いて言えば競技時間が長いことが特徴でしょうか。
多くのCTFでは24時間、規模の大きいものでは48時間も連続して競技が開催されます。 人間離れしたスタミナの持ち主でなければ必ず食事や睡眠が必要になる長さで、いつ寝るべきかを考えた経験のある人は多いと思います。 特に決勝大会のための予選になっている場合は、1つでも順位を上げ決勝圏内に潜り込むために体調を管理する必要があります。
オンサイト開催の一般的なCTF
オンサイトCTFの大きな特徴として、名前の通り「現地」で集合する必要があります。 これは想像以上の環境の変化をもたらします。
まず最初にぶつかる壁は「移動」です。特に海外で開催されるCTFに参加するときには、機材面で大きな制約を受けざるを得ません。 デスクトップPCを普段使っている人はそれを持ち運ぶのは困難でしょうし、大きなモニターで作業している人も持ち出せないでしょう。 たとえ持ち出せたとしても、会場で与えられる机は広くありません。
会場で使えるネットワークが有線LANしかない場合もあります。 Wi-Fiは多人数が接続すると不安定になったり、特定のエリアだけ電波が弱くなったりと不確定要素が多いため、競技に適していないと判断して有線に寄せることがあります。
その場合、有線LANの口が最初から付いているラップトップは稀な存在なので、大抵は変換アダプタが必要になります。 運良く借りられたとしても、USB端子の形状が合わなくて使えないこともあります。 必ず自分で動作確認の取れた変換アダプタを持っていくようにしましょう。
また、会場の制約は事前にアナウンスがあるとは思いますが、記載されていない部分については、質問をしたり余裕を持って行動したりしてリスクを軽減することになります。
ルールも通常のオンラインCTFと異なっていることがあります。 オンサイトならではのハードウェア問題や、変則的なルールがある場合は、その都度確認して戦略を練ることになります。 当たり前ですが、いつもと同じだと思い込んでよく確認しないでいると不利益を被るかもしれません。
Attack & Defense (A&D)
ルールがA&Dの場合は、競技を安定して進めるために多数のツール開発が要求されます。
A&Dが「各チームがチーム専用の問題サーバーを持ち、脆弱性をパッチしながら互いに攻撃し合う」というルールであることはご存じかと思います。 しかし、それを確実にチームで連携して進めるのは簡単ではありません。 同時に複数の脆弱性が見つかったとき、どれを優先してパッチすべきかは状況によって変わりますし、誰がどのようにパッチするのかも議論しなければいけません。
パッチがうまく行かなかったときのためにロールバックする機能も必要です。 特に複数人で進めると誰がどのパッチを持っているのかがわからなくなってしまうので、管理するツールが必要になります。
また、A&Dでは自分のチームのサーバーに到達したパケットを読み解き、それをヒントに脆弱性を探すことができます。 複数のチームから標的とされた状態のパケットキャプチャは時には数分で何百MBにもなり、Wiresharkと人間の目で攻撃を把握するのは容易ではありません。 A&Dに慣れているチームは、フラグが流出しているかどうかを判別する専用のパケット閲覧ツールを動作させています。
ここまででパッチを管理するツールとパケットを見やすくなるツールの2つが必要になりました。 もちろん攻撃面でもツールが欲しいです。
A&Dでは1ラウンドが2分から5分と非常に短いです。しかし、そのラウンドの中で確実に各チームからフラグを回収しなければいけません。 フラグの取得に時間が掛かる攻撃の場合は、並列化が必須です。 他にも状況を把握するために、どのチームからフラグを回収できたのかを記録することも重要です。
細かい機能について説明しすぎた感がありますが、ツール開発は競技時間外にできる数少ない戦術なので機能はあればあるだけ嬉しいです。 なんならCTFに詳しくなくても開発できます。
実例: ICC
ICCはInternational Cybersecurity Challengeの略で、今年は11月に第4回大会であるICC TOKYO 2025が幕張で開催されました。 このICCは他のCTFとはかなり異なったフォーマットで開催されています。
この大会には世界各地で結成された地域ごとのチームが出場しています。 ICC TOKYO 2025では、ヨーロッパ、アジア、ASEAN、アメリカ、カナダ、ラテンアメリカ&カリブ、アフリカ、オセアニアの8チームが出場しました。 参加できる年齢に制限があり、1999年かそれ以降に生まれた人しか参加できませんでした。
プレイヤーの選出や育成は地域ごとのチーム運営に委ねられており、丸々1年掛けて育成するチームや、CTFでメンバーを選出して結成するチームなど様々です。 最も身近なチームアジアが個人戦のCTFからメンバーを選出しています。
ICCのCTFに出場できるのは1チームあたり17名(内2名補欠)です。 その他に最低1名のコーチ、参加地域から1名のJuryと呼ばれる審判役(陪審員)、ICC自体の運営に関わるステアリングコミッティなど、様々な人々が集まって1つのチームを構成しています。 もちろんこれはICCのための最小編成であり、プレイヤーの育成なども実施する場合はもっと人数は膨らむでしょう。
渡航費もチームが持つ必要があるため、スポンサーを募って出場するチームが多数です。 ICC TOKYO 2025ではチームのテーブルの横にチームパネルが設置されていて、そのパネルには様々な企業のロゴが並んでいました。 プレイヤーの責務ではないのでCTFの一部とは思いにくいですが、チームとしては誰かがスポンサーを集めるために奮闘してくれているわけです。 かなりロジスティクスな感じがしてきましたね。
また、競技はJeopardyとA&Dの両方が行われるため、先ほど解説したA&D特有の準備も当然必要になってきます。 個人戦CTFで勝ち抜いて集められたメンバーでチームが構成されていると、競技といってもいきなり連携して準備を進めるのは難しいでしょう。
実例: DEF CON CTF
DEF CON CTFは競技の難易度が有名ですが、ロジスティクス面で世界で最も難易度が高いCTFだと思っています。
DEF CON CTFは基本がA&Dなので概ねA&Dの項で説明した内容が適用できます。 しかし、それでも別の項にまとめる必要があるくらい、準備が複雑なCTFです。
最も目立つのはチームの規模です。 会場都合でチームテーブルに座れる人数の上限はありますが、チームサイズ自体には制限がなく、何人でも参加できます。 優勝チームの記念写真は、学校の1学年の集合写真かと思うほどの人数で、まずその人数を集められることに驚嘆します。 ある人に話を聞いたときは、「会社のようだ」という表現もしていました。
人数が多いと渡航費や宿泊費も嵩みます。 スポンサーから支援を得て参加しているチームは、スポンサーのロゴが入ったユニホームを着ていることがあります。 ICCと同様に、チームの誰かがスポンサーの獲得やユニホームの制作をしているのでしょう。
DEF CON CTFの競技事情は特殊で、競技へはチームテーブルまで引かれた1本のLANケーブルから参加する必要があります。 8人分の席が用意されていても、イーサネットスイッチを持ち込んでいなければ1人しか競技に参加できません。
スイッチを持っていったとしても、会場に入れる人数の分しか回線数を増やせません。 多人数で参加するチームはVPNをセットアップして他のチームメンバーのところまでネットワークを拡張します。 つまりツール準備の他に、ネットワーク構築という要素も関わってくることになります。
DEF CON会場はそもそも人が多く、安定したネットワーク回線がありません。 攻撃スクリプトをVPN経由で動かすと不安定になるので会場側で回せるようにしたり、人数の多さでチームに割り当てられた競技回線帯域を食い潰さないようにしたりと細かい管理が要求されます。
まとめ
常日頃からCTFの技術以外で何か面白いことを伝えられないかなと思っている中の1つを紹介しました。 物理世界と繋がった瞬間にいろいろと泥臭くなることがよくわかります。
オンサイトCTFなどに参加する際には、少しでも準備を手伝ったり声掛けをしたりするとより円滑に競技に臨めると思います。
ちなみにいろいろ書いてきましたが、CTFで一番ロジスティクスを感じるのはイベント運営です。