© Hitachi, Ltd. 2020. All rights reserved.

日立セキュリティフォーラム 2020 ONLINE

「セキュリティコンテストにチャレンジしよう！」 問題

株式会社 日立製作所 主催

お客さま専用

- 2 -© Hitachi, Ltd. 2020. All rights reserved.

事前に必ずご一読ください

■本問題の解説について

●本フォーラムのセミナープログラム(ライブ配信)で問題をいくつかピックアップし、解き方を解説します。チャットによる質問も受け付けますのでぜひご視聴ください。

ライブ配信日時2020年7月14日 15:00～16:00

セミナープログラム名S14 セキュリティコンテストにチャレンジしよう！～日立のセキュリティプロフェッショナルがチャレンジ問題をライブで解説～

●全問題の解説は、ライブ配信のあとオフィシャルサイトへ掲載予定です。

■免責事項

・一部の問題を解いていただくにあたり、本ファイル以外のファイル(EXE形式、Microsoft Office形式など)をダウンロードしていただく必要がございます。ダウンロードの際に必要なソフトウェア(フリーソフトウェア含む)をPCにダウンロードする場合は、お客さまの会社ルールに従った利用をお願いします。

・提供ファイルおよび提供ファイルのダウンロードに必要なソフトウェア(フリーソフトウェア含む)に関して、万が一問題が発生した場合でも、当社は一切責任を負いません。

・問題内容に関する事前のお問い合わせは受け付けておりません。提供されている情報の範囲内でご対応ください。

・問題解説(ライブ配信)の前に、問題のWriteupをSNSなどで公開しないでください。

・日立セキュリティフォーラム 2020 ONLINE(以下「本フォーラム」)のオフィシャルサイトの「セキュリティコンテストにチャレンジしよう！」に掲載する問題、解説、その他関連ファイルは、株式会社 日立製作所、株式会社 日立ソリューションズ、または株式会社 日立ソリューションズ・クリエイトの著作物です。

・本フォーラムのオフィシャルサイトやネットワークなどに対する攻撃はおやめいただきますよう、お願いします。

■ルール

●指定のない限り、フラグの形式は”HSCTF{XXXXXXXX}”です。

●通常のCTFと異なり、ランキングはつけません(競争形式ではありません)。スコアサーバーへのフラグ投入などは不要です。

- 3 -© Hitachi, Ltd. 2020. All rights reserved.

問1. Crypto_鍵=1

あなたの部下であるユリウス・カエサルは、取引先に添付付きメールを送信しました。

そのメールを確認したところ、一見、自然な文章の中に、つぎの文字列が紛れ込んでいることを発見しました。

ITDUG{Dbftbs djqifs jt b gbnpvt djqifs uibu bqqfbsfe jo uif 1tu dfouvszCD.}

あなたは、かねてから、カエサルが不正に情報流出を起こしているのではないかと疑っています。この文字列にはどのような意味が隠されているのでしょうか。

- 4 -© Hitachi, Ltd. 2020. All rights reserved.

問2. Binary_絶対に通らないif文

社内ネットワークが新型のランサムウェアに感染しました。

最初にバックアップデータがやられ、被害は今も拡大中です。

経営陣は暗号化されてしまったデータを復号するために、ビットコインによる多額の支払いを視野に入れ始めました。

その頃、社内から数名の技術者が集まり、ランサムウェア解析ユニットが結成されました。

プログラム担当として、あなたもそのユニットの一員です。

ユニットのセキュリティ担当のやまもとくんは、新型ランサムウェアを解析し、ランサムウェア自体にデータの復号キーが保持されていることを突き止め、復号キーを表示する関数まで特定することができました。

しかし、どうにも、その関数の呼び出し元が、絶対に通らないif文の中にあると言って一人で騒いでいます。

徹夜の疲労が皆ピークに達しています。ついに、やまもとくんはさじを投げて、寝てしまいました。

他の者も意識がはっきりしていません。あとは、あなたに託されました。

経営陣が身代金の支払いに応じるまでに、猶予はわずかです。

あなたは復号キーを表示させることができるでしょうか。

【引き継ぎ事項】

復号キーを表示する関数：show_flag()

復号キーを表示するプログラム：bad_program.exe

プログラムのデコンパイル結果を手で整形したもの：main.cpp

やまもとくんが残したメモ：bad_program.exe.txt

※プログラムは、ランサムウェアではないため、ファイルを暗号化する機能はありません。

実害のないプログラムですが、ウイルス対策ソフトウェアで検知される可能性があります。

※使用ツール：バイナリエディター

bad_program.exe

bad_program.exe.txt

main.cpp

関連ファイル

- 5 -© Hitachi, Ltd. 2020. All rights reserved.

問3. Misc_セキュリティクロスワード

クロスワードを解いて、フラグ HSCTF{①②③④⑤⑥⑦⑧⑨⑩⑪} を完成させましょう。

securitycrossword.xlsx

関連ファイル

- 6 -© Hitachi, Ltd. 2020. All rights reserved.

問4. Misc_脆弱なパスワード付zip

さとうくんは、お客さまに超機密ファイルをメールで送信しました。上司である”あなた”も同メールをCCで受信しています。

ファイルはパスワード付きzipファイルで、メール本文に、「パスワードはいつもの数字8桁です」と表記されています。

あなたはパスワードを知りませんが、パスワードの設定が甘いと感じたので、さとうくんに今後はパスワードを変更するよう指示したところ、「今のままでも、10の8乗通りもパターンがあるから安全ですよ」という屁理屈な答えが返ってきました。

あなたは、さとうくんを納得させるために、颯爽とカッコよく目の前でzipファイルを解凍してみせることにしました。あなたは解凍することができるでしょうか？

flag.zip

関連ファイル

- 7 -© Hitachi, Ltd. 2020. All rights reserved.

問5. Misc_隠されたデータを探せ

すずきくんは上司であるあなたに、Excelの報告書を提出しました。正式な報告内容を”Sheet1”に、報告書の中間生成データを”Sheet3”に記述しています。

すずきくんは、”Sheet3”の内容は報告に不要なので、シートを非表示にしたうえで、シート操作をできないよう”ブックの保護”(複雑なパスワードで)をかけて提出しました。

あなたは、「これじゃあ、”Sheet3”が見られちゃうよ。お客さまへ資料を提出する際は気をつけるように。」と注意しました。

”Secret-sheet.xlsx”から、すずきくんが隠したつもりの”Sheet3”を見つけてください。

Secret-sheet.xlsx

関連ファイル

- 8 -© Hitachi, Ltd. 2020. All rights reserved.

問6. OSINT_写真の撮影場所

あなたがSNSに写真を投稿したところ、あなたの居場所を友達に特定されてしまいました。

休暇中なので行き先を秘密にしたかったのですが・・・。

友達はどのようにして、あなたの居場所を特定したのでしょうか。投稿した写真はつぎのものです。

フラグ：HSCTF{xxxx}

xxxxを埋めてフラグを完成させてください。

※xxxxは特定した場所の最寄駅のアルファベット表記

※アルファベットは全て小文字、記号・スペースなし

photo_19.JPG

関連ファイル

- 9 -© Hitachi, Ltd. 2020. All rights reserved.

問7. OSINT_ユミコのつぶやき

あなたが保守を担当している製品に脆弱性が含まれていることがわかりました。

調査を進めたところ、情報セキュリティブログのユミコ(@security_yumiko)が、2014年の6月にTwitterにつぶやいた、OpenSSLに関する脆弱性が関係していることがわかりました。

ユミコのつぶやきから、該当する脆弱性のCVE(共通脆弱性識別子)を見つけ出してください。

※フラグはHSCTF{CVE(共通脆弱性識別子)}です。

- 10 -© Hitachi, Ltd. 2020. All rights reserved.

問8. Network_感染…しちゃった？

会社が契約しているセキュリティ監視ベンダーから、「あなたの会社の一部のPCが、C&Cサーバーと通信しているようだ」と連絡が入りました。

その後、セキュリティ監視ベンダーからpcapファイルが送られてきました。

あなたは、pcapファイルを解析して、機密情報が含まれていないか、確認することになりました。

あなたは、機密情報を見つけることができるでしょうか？

※機密情報とは、”HSCTF{XXXXXXX}”(X…Xは任意)という形式の文字列を指します。この文字列がフラグです。

※使用ツール：Wireshark

ping.pcapng

関連ファイル

- 11 -© Hitachi, Ltd. 2020. All rights reserved.

問9. Stegano_公開文書

外部からの情報開示請求に対応して公開した情報のうち、黒塗りで非公開にしておいたフラグ情報が漏れてしまった。

公開文書の作成を担当したさいとうくんは困ってしまった。

「おかしい・・・言われたとおりにフラグの部分を黒塗りして、PDFの状態で公開したのに・・・」

なぜさいとうくんが作成した文書からフラグ情報が漏れてしまったのか。

分かったら、フラグの内容をさいとうくんにこっそり教えてあげてほしい。

なお、フラグには空白文字が含まれない。

不要な空白文字は除いた状態で教えてあげてくれ。

公開文書.pdf

関連ファイル

- 12 -© Hitachi, Ltd. 2020. All rights reserved.

問10. Stegano_このWordの作成者は

やまだくんは海外出張報告書を上司に提出しました。

しかし、どうやら、この報告書は他人が書いたものを盗用した疑いがあります。

この報告書を書いた本当のユーザーは誰でしょうか。

【海外出張報告書】

海外出張報告書.docx

※フラグは”HSCTF{(ユーザー名)}”です。

海外出張報告書.docx

関連ファイル

- 13 -© Hitachi, Ltd. 2020. All rights reserved.

問11. Web_blindexfil

あなたはWebサーバーの管理者です。ある日、HTTPサーバーのログを眺めていると、ふと、攻撃を受けた痕跡を見つけてしまいました。

改めて、HTTPサーバーのログを下記の観点で調査して下さい。

(観点1)攻撃が成功しているか？

(観点2)どのような攻撃が行われているか？

(観点3)攻撃者は何を行ったのか？

情報が持ち出されたのなら、どのような内容が漏えいしたか？

※フラグは調査の過程で見つかるようになっています。

access.log.zip

関連ファイル

- 14 -© Hitachi, Ltd. 2020. All rights reserved.

問12. Binary_メモリーダンプ

あなたはこのアプリケーションが何を考えているかわかるでしょうか。

※実害のないプログラムですが、ウイルス対策ソフトウェアで検知される可能性があります。

WindowsFormsApplication1.exe

関連ファイル

- 15 -© Hitachi, Ltd. 2020. All rights reserved.

問13. OSINT_日立ソリューションズのセキュリティアナリスト

日立ソリューションズのセキュリティアナリストのつぶやき(下記URL)を調査して、フラグを完成させましょう。

https://securityblog.jp/securityanalyst/

HSCTF{①②③④⑤⑥} (①②③④⑤⑥はすべて大文字の半角英字)

① 2019/10/28～29にセキュリティアナリストが運営スタッフとして参加した、日本発の情報セキュリティ国際会議の頭文字

② 2020/4/16の記事で解説されているWindows機能の頭文字

③ セキュリティアナリストが参加したBlack Hat USA2019の会場(統合型リゾート)の頭文字

④ 2019/12/21～22にセキュリティアナリストが出場したCTF大会名の先頭から2番目の文字

⑤ ブログにWriteup(CTFの問題解説)を掲載している、DEF CON CTF Qualifier 2019の問題タイトルの頭文字

⑥ Black Hat Europe 2019に参加したセキュリティアナリストが受講したトレーニング名の頭文字

※フラグは、上記Webサイトを普通に閲覧することで見つけることができます。

Webサイトの負荷を高めるような行為(ツールなどを使った機械的なアクセスなど)を行わないようにお願いいたします。

- 16 -© Hitachi, Ltd. 2020. All rights reserved.

問14. Crypto_そすんせから

日本語を研究しているJ研究所では、日本語を利用した新しい暗号の開発に着手しました。

手始めに、以下のような暗号を開発したのですが、解読できますか？

はりちき にと くとそかは「まちせちみいとい のいんこらちすし」る

ちりせくちこいかと もなとか こい そちせにかちりについしる

【ヒント】

鍵はあなたの手元にあるのでは？

- 17 -© Hitachi, Ltd. 2020. All rights reserved.

問15. Stegano_日立サイバーセキュリティセンター

日立サイバーセキュリティセンターの二つの画像から、フラグを見つけてください。

日立サイバーセキュリティセンター.xlsx

関連ファイル

- 18 -© Hitachi, Ltd. 2020. All rights reserved.

問16. Crypto_証明書ファイル

この証明書ファイルから、発行者のOUを調べてください。

public-key.crt

関連ファイル

- 19 -© Hitachi, Ltd. 2020. All rights reserved.

問17. Crypto_RSA

RSA暗号を復号してください。

Windowsの電卓で解けます。

n = 2108147221

e = 1405360563

d = 3

c1 = 1659210285

c2 = 2083154883

c3 = 272338880

- 20 -© Hitachi, Ltd. 2020. All rights reserved.

問18. Reverse_oddsum

某地下組織への潜入に成功し、開発中のマルウェアを発見した。

しかし、各所に罠が仕掛けられており、持ち出せる情報は限られていた。

重要な情報は採取してきたはずだ。解析してほしい。

oddsum.txt

関連ファイル

- 21 -© Hitachi, Ltd. 2020. All rights reserved.

問19. Forensics_USBキーボード

USBキーボードのキャプチャーデータを解析してください。

usb.zip

関連ファイル

- 22 -© Hitachi, Ltd. 2020. All rights reserved.

問20. Misc_Wordの中身

Wordファイルの中に何か仕込まれているようだ。

解析してほしい。

Wordの中身.docx

関連ファイル

- 23 -© Hitachi, Ltd. 2020. All rights reserved.

問21. Misc_Wordの外身

Wordファイルの外(？)に何か仕込まれているようだ。

解析してほしい。

Wordの外身.docx

関連ファイル

- 24 -© Hitachi, Ltd. 2020. All rights reserved.

問22. Forensics_zeroexfil

あなたは、あるセキュリティ侵害事件の調査を担当する、特別捜査班の一人です。

調査を進めると、犯人は外部の掲示板を使って仲間と連絡を取り合っていることがわかりました。

関連ファイルは、2018/7/17に犯人が書き込んだ英文です。書き込まれた英文は、

これといって不審なところがないように見えます。しかし、特別捜査班による犯人の監視は完璧で、該当日は、この書き込み以外に、犯人が外部と通信した形跡はありません。

あなたは、この書き込みに仲間へのメッセージが隠されていることは間違いないと考えています。この犯人が仲間に伝えたメッセージを突き止めてください。

※フラグは、HSCTF{メッセージ}です。

exfiltration.html

関連ファイル

- 25 -© Hitachi, Ltd. 2020. All rights reserved.

問23. Network_情報漏えい…しちゃった?

あなたはH社の情報システム部門で働いています。

ある日、ファイアウォールを導入している外部公開サーバーから情報が漏えいしている痕跡を見つけました。

通信ログ(pcapファイル)を解析し、どのようなデータが外部へ送信されたか調査してください。

※使用ツール：Wireshark

Question.pcap

関連ファイル

- 26 -© Hitachi, Ltd. 2020. All rights reserved.

商標類

◼ Microsoft、Windows、Excel、Wordは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

◼ Twitterは、Twitter,Inc. の登録商標です。

◼ その他、本資料に記載されている会社名、製品名、サービス名などはそれぞれの会社の商標または登録商標です。