SECCON 2015 横浜大会 CEDEC CHALLENGEが開催されました！

システムアセスメント部の山崎です。

昨日、パシフィコ横浜において、SECCON 2015横浜大会が開催されました。実行委員の一員として参加（と言いつつ、ほぼ見ていただけでしたが。。）して来ましたので、その様子をお届けしたいと思います。

今大会は、「SECCON 2015 × CEDEC CHALLENGE ゲームクラッキング＆チートチャレンジ」と題して、SECCON運営が用意した2つのゲームに対して参加チームにセキュリティ診断をおこなってもらい、クラッキングやチートにつながる問題点を洗い出し、それらへの対策方法を検討してもらう競技内容でした。

決勝戦に先駆けておこなった予選では、全部で120チームのエントリがあり、最終的に15チームからの資料提出がありました。その中から、特に優れた視点を持つ資料を提出してくれた「vulscryptos」、「TeamC」、「urandom」、「bono」、「m1z0r3」の5チームが決勝戦のプレゼン大会に駒を進めました。

決勝戦では、漫画家のすがやみつる先生、ネットエージェント株式会社の杉浦隆幸会長、そして株式会社enishの岩崎啓眞氏が審査員として見守る中、主にゲーム開発の現場に携わっているCEDEC参加者の前で、クラッキングやチートの手法とその対策案について5チームに発表していただきました。

ゲームクラッキング＆チートチャレンジということで、

• 通信を解析して「ランキングに不正登録」（単純にリプレイ攻撃でエントリを増やすものから、任意の名前・スコアの登録をおこなうものまで）
• 「メモリ書き換えによるチート」（HPや防御力を極限まで高めたり、移動速度を上げたり。速度を上げ過ぎて壁に激突するデモもありました）
• アプリを「デコンパイルして解析」（難読化は「難」読化なので読める！という強者も）

といった内容を時には動画を交えながら解説してくれました。

また、ランキングの登録の部分に「SQLインジェクション」が存在することに、最後に発表した１チームだけが気づいてくれていて、その発表があった際には、他の参加者たちがざわざわとしていたのが印象的でした。

どのチームも素晴らしい発表でしたが、「技術力」「表現力」「一芸力」を総合的に判断した結果、チーム「urandom」が優勝となりました。

ゲーム開発者向けのカンファレンスである、CEDEC 2015で、普段はセキュリティに関心がないかもしれない聴講者の皆さんに、少しでも、セキュリティの必要性・有用性を感じてもらえたのであれば大成功だったと思います。

なお、SECCONでは、今回の横浜大会を皮切りに、以下のスケジュールで続々とコンテストを開催していく予定です。ご興味を持っていただけた方は、ぜひ今後の大会への参加をご検討ください。

SECCON 2015 年間スケジュール | SECCON 2015 NEWS | SECCON 2015 Web