stripe
internet security
capture the flag

ゲームを通じてWebアプリケーションのセキュリティ脆弱性をすべて見つけるコンテスト

次の記事

Twitterに友だち探しAPIの利用を拒絶されて‘深く失望した’Tumblr

ctf20

オンラインのペイメント(payment, 支払い・決済)サービスStripeが、とってもクールな コンテストを今日(米国時間8/22)開催する。このコンテストにはコンピュータのセキュリティの担当者や専門家が参加して、あの有名なウォーゲームCapture the Flag(日本語、ビデオゲーム[英語])をプレーするのだ。

そのStripeのバージョンでは、Webアプリケーション内にいくつかの脆弱性が隠されていて、コンテストの参加者はそれらを発見し、その‘悪用’を試みる。試合開始は今日のお昼だったが、最初の6時間で4500人が参戦した。コンテストは今後1週間続き、その後ソースコードが公開されるので分析や改作なども可能だ。

ぼくは、こういうものこそ、セキュリティの分野に必要だと思う。楽しいからデベロッパたちの参加意欲をかき立てるし、それと同時に、Webアプリケーションのセキュリティ強化策について実践的に勉強できる。

Stripeのねらいは、デベロッパたち(の製品)に同社のペイメントサービス…クレジットカードの利用…を使ってもらうことだ。だから、デベロッパのセキュリティ技能を強化するためのイベントを行うことは、同社の利益にかなっている。

CEOのPatrick Collisonに今日メールでインタビューしたが、彼曰く、以前から一般的によくあるようなセキュリティ上の欠陥が、最近はますます増えている。過去数か月ではYahoo!やDropboxやLinkedInにも、そんな欠陥が見つかっている。欠陥サイトは減らないし、いつでも多い。

Collisonの指摘によると、デベロッパはセキュリティの重要性をよく認識しているけど、具体的なセキュリティ技能を修得するための機会に恵まれていない。だから、欠陥製品がそのままリリースされて、なすすべもなくやられてしまうのだ。

参加登録はここで行う。ゲームはレベルが8つあるが、本稿を書いている時点では全レベルをクリアした人はいない(米国時間8/22夕方)。スコアボード(下の画像)(8/22夜)を見ると、最高位の人たち数名がレベル7をクリアしている。全レベルをクリアした人は、このイベント用に同社が特製したTシャツをもらえる。

このゲームをプレイすると、いろんなタイプの攻撃を理解できる。Stripeのブログには、CSRF攻撃(日本語)のこと、知ってた?、なんて書かれている。 この、Stripe社のCapture the Flagコンテストは、コンテストというより、お勉強の場だ。ゲームの全レベルをクリアしたデベロッパには、明日からセキュアなコードを書ける実力がつくだろう。おもしろかった、勉強になった、だけで終わらないことを、祈りたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))