初開催！ 2024/12/11 Boss of the SoC ＠大阪 秋の陣レポート

大阪のBossは誰だ？

以前ポストしたこのレポートでもご報告いたしましたが、毎回ご好評いただいておりますSplunkのCTFイベントBoss Of the SoC V8が、今回初めて東京を飛び出して大阪にて開催されました。今回のBOTSは今年の前半に実施したV8と同じ問題で実施しましたが、幸いなことに参加メンバーは全員未経験というイコールコンディション、東京と比較すると若干小規模なチーム編成(今回は10チームの戦い)となりましたが、いったん競技が開始されると熱い戦いが繰り広げられました。

4時間にわたる熱戦を制したのは、なんと今回初めてSplunkを触るというチームが優勝となったことは、私たちイベント運営側も大変びっくりしました。優勝されたチームから「初めて触るSplunkだったのですが、触っているうちに大変使いやすいと感じました」というコメントをいただいて、嬉しいと共に改めてSplunkの懐の深さと良さを実感させていただきました。(余談ですが、こちらのチームは実は東京から遠征されて参加されたということをお聞きして2度びっくりしました。関西地元チームは次回必ず優勝を奪取せんとアカンがな〜！)

BOTSの歩き方

今回初開催であった大阪BOTSですが、今後も我々は東京以外でも積極的にイベントを開催して行きたいと考えています。開催のお知らせを受け取った皆さんは、ぜひご参加いただいて楽しんでいただければと思います。(もちろん遠征していただいても全然OKですw)

しかしながら、「CTFイベントはハードル高そう」とか「点数取れないかも」とかご心配が多々あるかもしれません。そこで、今回はBOTSをどうこなして行くのが良いのか？というTipsをいくつか書いておこうと思います。(あんまり書きすぎると某所からお叱りを受ける可能性がありますのでチョットだけ;-))

BOTS V8の構成とスコア

SplunkのBOTSは、複数のシナリオがあり主に3つのカテゴリーに分類できます。

まず、Splunkの製品を知ってもらうためのシナリオ、次に擬似的ではありますがリアルな攻撃に基づいた分析が必要なシナリオ、そして最後にそれぞれのシナリオに隠された「何か」を回答とするイースターエッグのシナリオという様になっています。

このうち、Splunk製品に関連するシナリオは比較的平易なものになっています。今回のV8でいうとSplunk ESとSOAR＋Splunk Attack Analyzer (SAA)のシナリオです。リアルな攻撃の痕跡を探す、SoCアナリストの腕を競い合うとも言えるシナリオが今回はAPTシナリオとWeb Appへの攻撃シナリオになります。そして最後に恒例になっている、各々のシナリオ内に隠れている「何か」を見つけるイースターエッグシナリオがあり、全部で5つのシナリオをチームにて解き明かすことになります。

シナリオの問題ごとに加点されるスコアが設定されており、100〜1500点の問題があります。当然高い点数の問題は難しく、100点の問題は比較的簡単です。さらに、スピードボーナスというシステムがあり、いち早く問題を正解するとボーナスポイントをもらえます。いいことばかりではなく、間違った答えに対してはペナルティがあって、マイナスのポイントがついてしまいます。

チーム内でどう分担するか？

BOTSは個人戦というよりチームでの戦い(一人チームはエントリーできない＆前述のスピードボーナスがあるので不利になってしまいます)ですので、上記の問題構成でどの様に分担するのか？が、勝利の鍵の一つです。例えば、前述の通りシナリオごとに難易度があるので、シナリオごとに分担を考えるという方法があります。

前述の通りスピードボーナスを狙うとすると、いかに早く問題を解くかというところでボーナスを稼ぐという方法や、問題は順番に解く必要はないので、簡単な問題(点数が低い問題)で素早くかつ数をこなすことを狙うというやり方もあります。また、あえて高いスコアの問題をできる限り早く解くという上級者向けの戦略もあります。これらを合わせて、チーム内でどうするかをあらかじめ決めておくことが大切です。

ここで、今回のBOTSのスコア傾向を見てみましょう。

これは、皆様お馴染みSplunkの画面ですが、シナリオ別の正解不正解を問わず回答をいただけた回数と、正解いただけた回数を可視化したものになります。SOARとESSは比較的簡単な問題であるため正解率は高い傾向にあります。

すなわち、SOARとESSの問題はできるだけ早く、正確に回答する必要がありそうです。

続いて問題のスコア別正解回答数と不正解の回答数をみてみましょう。やはり100点250点の問題は正解の数も多いですが、間違いも同じくらいある様です。さすがに1500点問題は難しかった様で正解はどなたも入力することができませんでした。

では、点数別問題とシナリオの関係も見てみましょう。目立つところとしてはESの100点問題にかなり間違いを入力された方が多い様です。正解数も多いところから、これはまだ問題に慣れていない時に間違いを入力してしまったということなのではないかと思います。時系列の情報をみるともう少しはっきりするかもしれません。また、SOARの250点問題を正解された方が多く、この問題についてはそれほど間違いをしないで入力できた様です。

参加者の多くが初参加という大阪BOTSであったため、高得点問題まで手がなかなか出なかったという傾向もある様です。

今回、１位のチームと２位のチームのスコア差は632点でしたので、500点以上の高得点問題を1問あるいは2問正解していれば簡単に逆転が可能だった、と言えるかと思います。

で、結論としてのオススメ戦略は？

スコアの経緯からすると、やはり簡単な問題をできるだけ落とさず取る、というやり方が今回の場合には効いた様です。簡単な問題をいかにペナルティポイントを貰わず、スピードボーナスを得るかということから、やはりメンバーごとにシナリオを割り当てることが良さそうです。チームメンバーをちゃんと集める、ということも重要なポイントかもしれません。

スコアを競うイベントではありますが、本当に楽しんで学べるコンテンツとイベントとなっていますので、4時間という長いイベントですが、BOTS開催を目にしたらぜひご参加いただければと思います(イベントカレンダーはこちら)。

2025年もBOTSをよろしくお願いいたします！