CTFって何?違法じゃないの?
「ハッキングって聞くと怖い」――その誤解、5分のミニクイズで解消します
「CTF」という言葉を見聞きしたことはあっても、実際には何をするものなのか、はっきり説明できる人は少ないかもしれません。「ハッキングのコンテスト」と聞くと、なんとなく怖そう、自分には縁がなさそう、もしかしたら違法なことをしているのでは……そんなイメージを持つ人も多いのではないでしょうか。
結論からお伝えすると、CTF(Capture The Flag)は世界中の学生・エンジニア・セキュリティ企業が大手を振って参加している、完全に合法な学習ゲームです。むしろ、サイバーセキュリティの実力を測る「スポーツ」のような存在として、教育機関や企業からも高く評価されています。
この連載は、CTFをまったく知らない人が、20話を通じて「実際に手を動かしながら」セキュリティの基礎を学んでいく体験型シリーズです。第1話となる今回は、CTFの正体と「なぜ合法なのか」という一番大きな疑問を解消するところから始めましょう。最後には、学んだ内容をその場で試せる5分間のミニクイズも用意しています。読み終えたときには、ニュースで見かける「ハッキング」という言葉への印象が、きっと今とは違うものになっているはずです。
この連載で登場する「攻撃を体験してみよう」というコンテンツは、すべて記事内に用意した自作のサンプル・モック環境で完結します。実際のWebサイトや他人の管理するシステムに対して同じ操作を行うことは、不正アクセス禁止法などの法律に違反する可能性があります。CTFも含め、セキュリティ技術はあくまで「許可された環境」「自分が管理する環境」でのみ実践するという原則を、このシリーズ全体を通じて徹底します。
🚩 CTFって結局なに?
Capture The Flag=「旗を取るゲーム」の正体
名前の由来は、本当に「旗取りゲーム」
CTF(Capture The Flag)は、もともと屋外で行われる陣取りゲームの名前です。2つの陣営に分かれ、相手の陣地に隠された「旗」を取りに行き、自分の陣地に持ち帰った数で勝敗を決める、子どもの遊びやレクリエーションでも親しまれてきた遊びでした。サイバーセキュリティの世界では、この「旗を取る」という構造を競技に応用し、隠されたデータの中から「Flag」と呼ばれる合言葉のような文字列を見つけ出し、運営に提出してポイントを得る競技として定着しました。
具体的には、CTFの問題(「チャレンジ」または「問題(プロブレム)」と呼ばれます)には、Webサイトのソースコードの中、暗号化された文章の中、画像ファイルの中、模擬的に用意された「侵入してよいサーバー」の中など、さまざまな場所にFlagが隠されています。参加者はパズルを解くようにヒントを読み解き、ツールを使い、知識を組み合わせてFlagを探し出します。見つけたFlagは「flag{ここに文字列}」のような決まった形式になっていることが多く、これを運営のシステムに提出すると、その場で正解かどうかが判定されてポイントが入ります(Flagの形式や採点の仕組みは第3話で詳しく扱います)。
つまりCTFとは、架空の「事件」や「謎」をセキュリティの技術を使って解き明かす、知的なパズルゲームです。ここで使われる技術は、現実のサイバー攻撃や防御の現場で実際に使われているものと同じです。だからこそ、CTFで腕を磨くことは、そのまま実務に通じるセキュリティスキルの習得につながります。
得点の仕組みにもゲームらしい工夫があります。多くのCTFでは、解けた人が少ない難しい問題ほど高得点になるよう、得点が後から変化していく仕組み(ダイナミックスコアリング)を採用しています。誰でも解ける入門レベルの問題から、ごく一部の上級者しか解けない超難問まで段階的に用意されているため、参加者は今の自分の実力に合った問題を選びながら、無理のないペースでレベルアップしていけます。リアルタイムのスコアボードで自分やチームの順位が確認できるのも、CTFがスポーツのように楽しめる理由の一つです。
Web
Webサイトやアプリの脆弱性を見つける分野。SQLインジェクションやパラメータ改変など。この連載の第2章で扱います。
暗号(Crypto)
暗号化・エンコードされた文章を解読する分野。Base64やCaesar暗号など。第3章で扱います。
フォレンジック
ログやファイルの痕跡から何が起きたかを調べる分野。第5章で扱います。
Pwn(バイナリ攻略)
プログラムの脆弱性を突いて制御を奪う分野。難易度が高く、この連載では扱いません。
リバースエンジニアリング
プログラムを分解し、内部の仕組みを読み解く分野。この連載では扱いませんが、関連記事で紹介しています。
このシリーズで扱う分野
全20話では、上記のうち初心者が取り組みやすいWeb・暗号・OSINT・フォレンジックの4分野を中心に体験していきます。Pwnやリバースエンジニアリングは前提知識が多く必要になるため、本シリーズでは扱いませんが、興味が出てきたらサイト内の関連記事もあわせて読んでみてください。
CTFはいつから始まった?
セキュリティ競技としてのCTFは、1990年代半ばに米国の大規模セキュリティカンファレンス「DEF CON」で始まったといわれています。当初は数十人規模の小さな催しでしたが、インターネットの普及とともに参加者は世界中へ広がり、現在では学生向けの教育目的の常設サイトから、プロのセキュリティエンジニアが本気で競い合う国際大会まで、規模も難易度もさまざまなCTFが年間を通じて数多く開催されるようになりました。攻撃者の視点を学び、それを防御に活かす技術者は「ホワイトハッカー」と呼ばれますが、その多くがキャリアの入口としてCTFを経験しています。
もう一つ覚えておきたいのが、CTFの参加者には決まった「肩書き」が必要ないという点です。学生でも、文系出身の社会人でも、独学でプログラミングを学び始めたばかりの人でも、ルールに従って参加すれば誰でも同じ土俵で問題に挑戦できます。情報セキュリティの世界は学歴や経歴よりも「実際に解けるかどうか」が評価される文化が強く、CTFはその文化を体現する代表的な存在になっています。
この連載でも、難しい専門用語が出てきたときは必ずその場で説明を加え、いきなり高度な内容に進まないように構成しています。「自分にもできるかもしれない」と思えた瞬間こそが、CTFの世界に足を踏み入れる一番大切な一歩です。気負わず、ゲーム感覚で読み進めてみてください。
⚖️ 合法?違法?境界線はどこにある
同じ技術でも、許可の有無で結果がまったく変わる
「ハッキング技術=犯罪」ではない
多くの人が誤解しているのが、「他人のシステムに侵入する技術を使うこと」そのものが犯罪だという考え方です。実際には、技術そのものに合法・違法の区別はなく、「誰の許可を得て、どの対象に対して使ったか」によって合法か違法かが決まります。同じ自転車の鍵の開け方を知っていても、自分の鍵を開けるのは何の問題もなく、他人の鍵を無断で開けるのは犯罪になるのと同じ構造です。
日本には「不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)」という法律があり、他人のID・パスワードを無断で使ってシステムにアクセスしたり、アクセス制御を回避して許可なく情報システムに入る行為などを規制しています。重要なのは、この法律が問題にしているのは「許可なく」という部分であり、セキュリティの知識や技術そのものを禁止しているわけではないという点です(法律の詳しい条文や解釈は、出典に挙げた公的機関の情報を確認してください)。
不正アクセス禁止法が規制する代表的な行為
大きく分けると、①他人のID・パスワードを無断で入力してログインする「なりすましアクセス」、②セキュリティ上の欠陥(脆弱性)を突いてアクセス制御を回避する行為、③不正に入手したID・パスワードを第三者に提供する行為などが規制の対象です。共通しているのは、いずれも管理者の意思に反して、許可なく行われるという点です。逆にいえば、管理者本人が「試していい」と認めた範囲であれば、同じ技術を使っても規制の対象にはなりません。
ここで「CTFに参加するだけで“ハッカー”を名乗っていいのか」と不安に思う人もいるかもしれません。CTFやセキュリティの世界でよく使われる「ホワイトハッカー」という言葉は、攻撃者と同じ知識・技術を持ちながら、それを防御や安全性向上のために使う人を指します。CTFはまさに、ホワイトハッカーとしての考え方を安全に練習できる場だと言えるでしょう。
また、「セキュリティの脆弱性を知ること自体が悪いことなのでは」と感じる人もいますが、これも誤解です。むしろ、脆弱性がどう生まれ、どう突かれるのかを知らなければ、適切な対策を取ることはできません。企業のセキュリティ担当者やシステム開発者の多くは、攻撃者の視点を理解するために、日頃からCTFのような実践的な学習を取り入れています。知ること・学ぶこと自体は中立であり、その知識を「誰の許可のもとで、何のために使うか」が常に問われている、と理解しておくとよいでしょう。
このシリーズで紹介する技術や考え方を、許可を得ていない実在のWebサイト・サーバー・他人のアカウントに対して試すことは絶対にやめてください。たとえ「ただ試してみるだけ」「悪用するつもりはない」という気持ちであっても、無断でアクセス制御を回避する行為自体が不正アクセス禁止法などに抵触し、刑事罰の対象になり得ます。学んだ技術は、必ずこの連載で用意するサンプル環境や、自分が管理する環境、CTFのように公式に許可された環境の中だけで使ってください。
では、なぜCTFは合法に成立しているのでしょうか。理由は大きく3つあります。これらの条件は、企業が実施する「ペネトレーションテスト」(許可を得たうえで自社システムへの侵入を試みる診断サービス)が合法に行われる理由とも共通しています。CTFは個人や学生がこの考え方を低コストで体験できる、いわば入門編のような位置づけだと考えると分かりやすいでしょう。
🖥️ 攻撃対象が「公式に用意されたもの」
CTFで攻撃する対象は、実在の企業や個人のシステムではなく、運営が参加者のために専用に用意した練習用サーバーや問題データです。誰の権利も侵害しません。
📜 参加規約という「許可」がある
参加者は大会のルール(利用規約)に同意した上で参加します。「この範囲のサーバーに対してはこの技術を使ってよい」という許可が、運営側から明確に与えられている状態です。
🚧 対象範囲(スコープ)が明確
「このサーバーのこのポートまで」「大会期間中のみ」など、許可された範囲が明確に決められており、参加者はその範囲を超えません。
🔀 同じ「技術」でも、許可の有無で結果が変わる
このように、CTFは「無許可で他人のシステムを攻撃する行為」とは根本的に違う、許可された安全な箱庭の中で技術を試す仕組みです。企業がセキュリティ人材の採用や研修にCTFを活用したり、学校の授業に取り入れたりしているのも、この「合法に・安全に・実践的な技術を学べる」という特性があるからです。次回以降、この連載で登場する「攻撃を体験してみよう」というミニ問題もすべて同じ考え方に基づいています。自作のサンプル環境という安全な箱庭の中だからこそ、思い切って手を動かして試すことができるのです。
🧭 CTFの2つの形式
Jeopardy型とAttack & Defense型
大きく分けて2つのスタイルがある
CTFには主に2つの開催形式があります。Jeopardy型(個人・チームで黙々と問題を解いていく形式)と、Attack & Defense型(チーム同士がリアルタイムで攻め合い・守り合いをする形式)です。この連載で体験するミニ問題は、すべてJeopardy型に近い出題スタイルを採用しています。
Jeopardy型は、アメリカのクイズ番組「Jeopardy!」の解答ボードのように、ジャンル別・難易度別に問題が並んでいる形式です。Web・Crypto・Forensicsなど分野ごとにいくつもの問題が用意され、参加者は好きな問題を選んで解き、正解すればその問題の点数が手に入ります。問題ごとに難易度が違うため、初心者は簡単な問題から、上級者は難しい問題から取り組むなど、自分のレベルに合わせて進められるのが特徴です。個人参加でもチーム参加でも楽しめるため、世界中の常設CTFや初心者向け大会のほとんどがこの形式を採用しています。
一方、Attack & Defense型は、参加チームそれぞれに同じ構成の脆弱なサーバーが配られ、一定時間の中で「自分のサーバーの脆弱性を直して守りながら、他チームのサーバーに残る同じ脆弱性を攻撃して得点する」という、より実践的でスリリングな形式です。攻撃と防御を同時に行う必要があるため、チームでの役割分担や高度な技術力が求められ、上級者向けの大会で多く採用されています。
🗺️ 2つの形式をイメージ図で比べる
📊 Jeopardy型とAttack&Defense型の比較
| 比較項目 | 🧩 Jeopardy型 | ⚔️ Attack&Defense型 |
|---|---|---|
| 初心者向きさ | ||
| 必要なチームワーク | ||
| 一人で参加できるか | ◎ 個人参加が一般的 | △ チーム参加が前提 |
| 進め方 | 好きな問題を自分のペースで | 制限時間内に攻防が同時進行 |
| このシリーズとの関係 | ◎ ミニ問題はこの形式を採用 | — 本シリーズでは扱わない |
※ スコアはこのシリーズにおける学習のしやすさを基準にした目安です。
実際にJeopardy型のCTFへ参加するときのイメージはこうです。まず大会のサイトにアクセスして参加登録(個人またはチーム)を済ませると、ジャンルごとに整理された問題一覧(先ほどの図のようなボード形式が多い)が表示されます。好きな問題をクリックすると、問題文・配布ファイル・ヒントなどが表示されるので、あとはブラウザやツールを使って手を動かし、見つけたFlagを入力欄に提出するだけです。最初の1問が解けた瞬間の達成感は、CTFの魅力を理解する一番の近道になります。
初心者はJeopardy型から
これからCTFに触れていく人は、まずJeopardy型の常設大会(次回紹介します)から始めるのが王道です。自分のペースで、わからない問題は後回しにして、得意な分野から手を付けられます。
🌍 世界中で開かれているCTF大会
まずはここから。代表的な3つの大会・常設CTF
CTFは特別な人だけのものではなく、世界中で年間を通じて数多く開催されています。ここでは、CTFという世界を知るうえで欠かせない代表的な3つを紹介します。
DEF CON CTF
米ラスベガスのDEF CONカンファレンス本戦
世界中の予選を勝ち抜いた精鋭チームだけが出場できる、CTF界で最も権威ある大会のひとつ。最初から目指す場所ではなく、「いつかここを目指す」憧れの存在として知っておきましょう。
picoCTF
米カーネギーメロン大学が運営
教育目的で作られた常設CTFで、高校生・大学生を主な対象としていますが年齢制限はなく誰でも挑戦できます。年間いつでも取り組める問題が揃っており、CTF初心者が最初に触れるべき場所としてよく紹介されます。
SECCON
日本国内のセキュリティコミュニティが運営
日本最大級のCTFで、国内予選から本戦・国際大会へとつながっています。日本語の情報や勉強会が充実しているため、日本語で学びたい人の足がかりになります。
最初の一歩には常設CTFがおすすめ
大会形式のCTFは開催期間が決まっていますが、picoCTFのような「常設CTF」は思い立ったときにいつでも挑戦できます。この連載のミニ問題に慣れたら、次のステップとして常設CTFに挑戦してみるのもおすすめです。
世界中のCTF開催情報をまとめてチェックできる「CTFtime」というコミュニティサイトも広く利用されています。今どんな大会が開催されているか、過去の大会の傾向や難易度を調べる際に役立つので、CTFに本格的に取り組み始めたら覗いてみるとよいでしょう。最初は一人で常設CTFを試し、慣れてきたら友人や同僚とチームを組んで大会形式に挑戦する、という段階的なステップアップがおすすめです。
💪 CTFで身につく力・キャリアへの活かし方
「ゲーム」で終わらない、実務に直結するスキル
CTFで使う技術は、実際の脆弱性診断やインシデント対応の現場で使われている考え方そのものです。座学で「SQLインジェクションとは○○です」と読むだけの理解と、実際に手を動かして「突破できた」「防げた」という体験の理解には、大きな差があります。この連載でこれから登場するWeb・暗号・OSINT・フォレンジックの各分野も、すべて実際のセキュリティ業務で必要とされる基礎知識ばかりです。読み進めるだけでなく、用意されたミニ問題に必ず自分の手で挑戦してみることを強くおすすめします。
🎓 学生の方
- チームで問題に取り組む経験 → 協働力のアピール
- 授業で習った理論を実際に試せる → 理解の定着
👨💻 新人エンジニアの方
- 業務に近い疑似体験ができる → 実践的な理解
- セキュリティ意識のあるコードが書けるようになる
🔰 セキュリティ未経験の方
- 手を動かすことで「怖い」という苦手意識が消える
- 用語の意味が実感を伴って理解できる
どの立場であっても共通しているのは、「知っている」と「できる」の間にある大きな差を、CTFが埋めてくれるという点です。この連載を最後まで読み終えたとき、セキュリティニュースの見方や、自分が使っているサービスのパスワード設定に対する意識まで変わっているはずです。
採用・転職でのアピール材料にもなる
セキュリティ企業の採用選考では、CTFの参加経験や大会での成績が技術力を示す材料として評価されることがあります。資格と並んで「実際に手が動く人材」であることの証明になりやすいのも、CTFが世界的に重視されている理由の一つです。
近年は、社内のセキュリティ研修や新人エンジニアのオンボーディングに、CTF形式のミニ問題を取り入れる企業も増えています。座学だけの研修よりも受講者の理解度や得意・不得意が見えやすく、受講者自身も「学んだ内容を実際に使えた」という達成感を持ちやすいためです。この連載で体験する5分間のミニ問題も、考え方としては企業研修で使われるCTF形式と同じ仕組みを採用しています。
🧩 5分CTFチャレンジ
合法?違法?を見分けよう(全3問)
ここまで読んだ内容を、実際に手を動かして確認してみましょう。下の3つの状況は、いずれも「セキュリティ技術を使う」という行為自体は共通していますが、結果はまったく異なります。今回学んだ「許可の有無」という基準を思い出しながら、合法か違法かを判定してみてください。間違えても大丈夫、🔁ボタンで何度でも挑戦できます。
この記事で学んだ「許可の有無」を基準に、次の3つの行動が合法か違法かを判定してみよう。全問正解でこの話の「クリア」記録が手に入ります。
Q1. Aさんは、CTF大会の公式ルールで許可された練習用サーバーに対して、SQLインジェクションを試した。
Q2. Bさんは、許可を取らずに知り合いの会社のWebサイトに対してSQLインジェクションを試した。
Q3. Cさんは、自分が管理する自宅の練習用サーバーに対して、パスワードの総当たり攻撃を試した。
📝 まとめ+次回予告
今回のポイントを振り返ろう
第1話では、CTFという競技の正体と、なぜそれが合法に成立しているのかという土台部分を解説しました。「ハッキング=犯罪」という漠然とした不安は、「許可の有無」という1つの軸で考えれば、かなりすっきり整理できたのではないでしょうか。この考え方は、これから先の19話すべてに共通する大前提です。Webサイトの脆弱性を試すときも、暗号を解読するときも、公開情報を調査するときも、常に「これは許可された行為か」を意識する姿勢を持ち続けてください。この軸さえ持っていれば、どれだけ高度な技術を学んでも、安心して前に進むことができます。
・CTF(Capture The Flag)は隠されたFlagを探し出す、合法な学習ゲーム
・合法か違法かを分けるのは技術ではなく「許可の有無」
・CTFはJeopardy型(個人で進める)とAttack&Defense型(チーム対戦)の2形式がある
・picoCTFのような常設CTFが初心者の入口になる
・CTFの経験は実務スキルやキャリアにもつながる
よくある質問もまとめておきます。読み進める前に気になる疑問があれば、ここで解消しておきましょう。
Q. CTFに参加するのにお金はかかりますか?
多くのCTFは無料で参加できます。picoCTFのような常設CTFも無料です。一部の大会で参加費がかかる場合もありますが、初心者が最初に触れる場所としては無料のものが中心です。
Q. プログラミング経験がなくても大丈夫ですか?
大丈夫です。この連載で扱うWeb・暗号・OSINT・フォレンジックの入門レベルの問題は、プログラミングの専門知識がなくても、ブラウザの基本操作と考え方を知るだけで取り組めるように設計しています。
Q. 一人でも参加できますか?チームを組む必要はありますか?
Jeopardy型のCTFは個人参加が一般的で、一人でも十分に楽しめます。チームでの参加が前提となるのは、主にAttack&Defense型の大会です。
Q. 日本語で参加できる大会はありますか?
SECCONのように日本語の情報が充実した国内大会もあります。海外の大会でも、問題文自体は英語が多いものの、解法は日本語のコミュニティで情報交換されていることが多くあります。
Q. 年齢制限はありますか?学生でも参加できますか?
多くのCTFには厳密な年齢制限がなく、高校生や大学生も多数参加しています。picoCTFのように学生を主な対象として設計された大会もあるため、学生のうちから挑戦しやすい環境が整っています。
Q. 次回(第2話)では何を学びますか?
次回はCTFに挑むための基本ツール10選を紹介します。ブラウザの開発者ツール(DevTools)の開き方から、Linuxの基礎、Burp Suiteという専用ツールの位置づけまで、超入門レベルから解説していきます。
Q. このシリーズはどれくらいのペースで読めばいいですか?
1話あたり10〜15分程度で読み切れる長さを目安にしています。週に1〜2話のペースで、無理のないタイミングで読み進めるのがおすすめです。途中で気になった分野があれば、関連記事を読みながら深掘りしてみるのもよいでしょう。
CTFで必要な道具10選
ブラウザの開発者ツール(DevTools)、Linux、Burp Suiteなど、CTFに挑むための基本ツールを超入門レベルから紹介します。
セキュリティ技術をより実践的に学びたくなった方は、関連記事「ペネトレーションテスト入門」もあわせてご覧ください。CTFで学ぶ考え方は、許可を得た環境で行う実務のペネトレーションテストの土台にもなります。
📚 出典・参考情報
この記事の法律に関する記述は、一般的な制度の理解を助けるための要約です。個別の事案が合法か違法かの判断は、必ず最新の法令・専門家の見解を確認してください。本記事は学習目的の入門解説であり、法的助言ではありません。
- 不正アクセス行為の禁止等に関する法律(e-Gov法令検索)
- 警察庁 サイバー犯罪対策に関する公開情報
- IPA(情報処理推進機構)公開資料
- DEF CON CTF/picoCTF/SECCON 各公式サイト
コメント