読者です 読者をやめる 読者になる 読者になる

あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Social Engineering CTF(SECTF) - DEFCON 23 -

DEFCON CTF SocialEngineering

Social Engineering CTF(SE CTF)について紹介します。
2015年のDEFCON23の内容をもとに解説しています。

---------------------------------
【注意事項】
本記事にある内容は、CTF競技内でのみ行われています。
ここに記載されていることを実際の企業に試みることは、その国の法律によって罪に問われる可能性があるため、十分注意してください。
---------------------------------

1. Social Engineering CTFとは?

http://www.social-engineer.org/about/

ソーシャルエンジニアリングとは?
 - Influence (影響を与える)
 - Manipulation (巧みに操作する)
 - Elicitation (情報を引き出す)
 - Info Gathering (情報を収集する)
 - Psychology (心理を操る)
 - Science (自然科学)
 - Profiling (特徴を推論する)
 - Communication Modeling (人とのコミュニケーションを作る)
 - Facial Expressions (表情)
 - Body Language (身振り)
 - Art (策謀)
 - Misdirection (誤った指示)
 - Pretexting (身分のなりすまし)
 - Emotional Hijacking (感情の乗っ取り)
 - Rapport (感情の親密さ)

How is it used? (それをどのように使用していますか?)
Communication with your... (あなたと会話する...)
 - Family (家族)
 - Boss (上司)
 - Spouse (配偶者)
 - Friends (友達)
Othe uses include (その他の用途としては、)
 - Breaching Companies (違反する企業)
 - Stealing Data (データの窃盗)
 - Cyber Crime (サイバー犯罪)
 - Cyber Warfare (サイバー戦争)

こういったことから自分の身を守るためには、
ソーシャルエンジニアリングの勉強しないといけません。

という内容が書かれていました(動画参照)。


2. Social Engineering CTFの競技について

http://www.social-engineer.org/ctf/def-con-23-sectf-rules-registration/

「2016年には、また少し変わるよ」といったことも呟かれていますが、
現状は下記のようなルールになっていました。

2.1 Social Engineering CTFの概要

このイベントでは、疑うことの知らない企業から電話でいくつかの情報を収集するため、ソーシャルエンジニアリングの能力を使用してテストします。
各競技者は、対象の企業が割り当てられ、フラグ、サンプルレポート、通話時間が提供されます。
情報収集や報告をするために、3週間の猶予が与えられます。
DEFCONにおいて、30分という時間の中から、出来るだけ多くのフラグを手に入れてください。

以下に該当する人は、ぜひ挑戦してみてください。

  • 男性か女性にあたる人
  • このコンテストに時間を費やすことを厭わない人
  • 独自なSocial Engineering ToolKitを獲得したい人
  • DEFCON 23 Social Engineering 優勝者になりたい人

 

CTFのルール

  • 登録する前にルールを読んでください
  • 対象企業の名前、URLがEメールで関係者に送付されます
  • 競技者には、すべてのフラグと対応する値が含まれています
  • DEFCON競技の前に、競技者は公開されている情報を使用して、出来るだけ多くの情報を収集することが許されています。GoogleやLinkdIn、FacebookTwitterに限らないが、メールや直接連絡を取って対象企業の関係者を呼び出し、任意の方法で接触することは禁止されています。これは不正行為とみなされ、ポイントが差し引かれます。
  • 収集フェーズで得た情報に基づいて、プロ並みの報告書を作成する必要があります。競技者には従うべきガイドラインが送信されます。スコアの大部分は、報告書の内容と質によって決定されます。ただし、数十ページの文書を記すだけでは報告書として受け入れられません。情報を発見したら、その重要性を記す必要があります。これらの報告書は、得点を記す目的であり、公開されることはありません。
  • 報告書で挙げられたフラグは、ハーフポイントが与えられます。それは試してみて呼び出し中に再度このフラグを得ることが出来た場合、フルポイントが与えられます。組み合わせることで、1.5倍のポイントを得ることが可能です。
  • 競技者は、上述の情報を収集し報告書を作成する期間として3週間が与えられます。
  • 競技者は、事前に審査をするため、指定された日に報告書を提出する必要があります。提出が遅れると、審査員は競技から失格にすることが出来ます。酷い場合は、暗いクローゼットの中に押し込められるかもしれません。
  • DEFCON競技中、防音ブースに入れられ、ターゲットを電話で呼び出して電話(複数可)するために30分が与えられます。電話(複数可)中に可能な限り多くのフラグを聞き出そうとします。このフェーズで獲得したフラグは、フルポイントとして加算されます。
  • 時間は競技者の数に応じて調整しますが、すべての競技者に同じ時間が提供されます。
  • 競技者は、電話番号と取得するフラグの番号を報告書の番号と紐づける必要があります。
  • すべての電話番号は、米国ベース(カナダ、南アメリカ、大西洋・太平洋全体であってはいけない)である必要があります。
  • 得点は、報告書とハーフポイントのフラグ、電話中のフルポイントのフラグ、そして審査員に与えられる客観的な点数で構成されます。

 フラグとは

 フラグとは、情報のあらかじめ定義された一覧です。
これを使用して、情報収集や電話中の間に発見する必要があります。
審査員は、この一覧から見つけられた(及び報告に記された)アイテムにポイントを与えます。
この一覧は、競争のために公開されます。

賞品とは

 1位には他にないツールキット(詳細は後日公開)、限定版のチャレンジコイン、いくつかのSocial Engineering会社のロゴ入りグッズが贈られます。
 2位には他にないツールキット(詳細は後日公開)、限定版のチャレンジコインが贈られます。

2.2 Social Engineering CTF競技の模様

一般的な競技の流れ

(1) 競技者の紹介
 簡単な紹介が行われる。

(2) 電話によるソーシャルエンジニアリング
 1. Phone Number(対象企業番号)とSpoofing Number(フラグ)を審査員に伝える
 2. 電話が繋がるまで審査員がSkypeで掛けまくる(繋がらない場合、1からループ)
 3. 相手が出たら、競技者が電話先の担当者にソーシャルエンジニアリングを行う
   (この間、どんなにすごい情報が聞けても、静かにしていないと怒られる)
 4. 電話が終了した際に、情報が聞き出せていれば拍手で迎える(1からループ)
 5. 終了時間が来るか、競技ギブアップされればその時点で終了し、拍手で迎える

(3) ディスカッション
 1. 電話の内容をもとに、下記のような点を審査員と視聴者で議論する
 ・得た情報の内容を整理
 ・得た情報の重要さを整理
 ・得た際のテクニックを評価
 2. 議論した内容をもとに審査員が得点を提示する


3. まとめ(感想)

DEFCON23の競技内では、主にブラウザ等のインターネット利用環境や、社員IDを聞き出すという事例が見られました。
この競技内で禁止されている事項として、 クレジットカード等の機微な情報は聞き出してはならないというルールがあります。限られたルールの中で、サイバー攻撃に繋がりかねない情報を聞き出すことが目的とされていることが良く分かります。

思った返答ではなく、つい笑ってしまうような情報が聞けたり、怪しいと思わればれたりと、このCTFらしい醍醐味があるなと感じました。

また同時に、このようなソーシャルエンジニアリングから様々な情報が漏えいしてしまったことを想定した取り組みはなかなか行われていないことに注意をすべきだと考えます。
「社内のインターネット利用環境」や「社員の情報」も、絶対に漏れるべきではないという姿勢ではなく、漏れてしまっても多重に防御できている環境を準備することが重要だと改めて感じました。