卒業チャレンジ|全技術を結集した最終問題
「はじめてのCTF」シリーズ、いよいよ最終回です。新しい技術は教えません。19話で学んだCookie操作・エンコード解読・ハッシュ照合を3つのステージでつなぎ、最後のフラグを掴み取ってください。
📋 目次
🗺️ これまでの旅を振り返る(全19話のロードマップ)
4つの編、19話を駆け抜けてきました
「はじめてのCTF」は、ブラウザの開発者ツールから始まり、暗号、OSINT、デジタルフォレンジックという4つの編を通じて、CTFの基礎技術を一通り体験する連載でした。最終回の前に、その旅を振り返ってみましょう。
🌐 Web開発者ツール編(第4〜9話)
Application・Elements・Network・Sources・Debuggerタブを使い、Cookie操作・HTML書き換え・通信監視・ソース解析・実行時デバッグを体験
🔑 暗号編(第10〜12話)
Base64・文字コード・シーザー暗号・XOR暗号・ハッシュ関数とパスワードクラックという、エンコードと暗号の基礎を体験
🕵️ OSINT編(第13〜14話)
検索演算子(Google Dork)とEXIFメタデータ、複数の手がかりをつなぐ相関分析という調査技術を体験
🔍 フォレンジック編(第15〜19話)
ファイルのマジックバイト・ステガノグラフィー・ログ解析・パケット構造・Wiresharkでの通信追跡という証拠調査の技術を体験
📜 卒業チャレンジのルール
新しい技術は一切なし。すべて「思い出す」だけ
今回のチャレンジには3つのステージがあります。それぞれ、これまでの連載で学んだ技術にそのまま対応しています。1つ前のステージをクリアすると、次のステージが解放される仕組みです。
| ステージ | 使う技術 | 対応する話 |
|---|---|---|
| ステージ1 | Application タブでCookieを書き換える | 第4話・第7話 |
| ステージ2 | Consoleでatob()を使いBase64をデコードする | 第10話 |
| ステージ3 | 解読したパスフレーズで金庫を解錠する(SHA-256照合) | 第12話 |
困ったら、各話に戻って読み返そう
このチャレンジで使うテクニックは、すべて過去の話で詳しく解説しています。手順を忘れてしまったら、対応する話を読み返すのも立派な攻略法です。実際のCTF競技でも、過去に解いた問題の知識を思い出して再利用するのはよくあることです。
🍪 ステージ1:Cookieで権限を取得する
第4話・第7話で学んだ技術の総まとめ
このページにはgrad_statusというCookieが設定されています。F12 → Applicationタブ → Cookies で確認し、値を書き換えてステージ1をクリアしてください。
現在の grad_status の値:
値を cleared に書き換えてからボタンを押してください。
🔢 ステージ2:Base64でキーワードを解読する
第10話で学んだ技術の総まとめ
🔒 ステージ1をクリアすると、ここにエンコードされたデータが表示されます。
🔐 ステージ3&最終フラグ:パスフレーズで金庫を解錠する
第12話で学んだ技術の総まとめ
🔒 ステージ2を解読すると、ここでパスフレーズを入力できるようになります。
3つのステージをすべてクリアして得られた最終フラグを入力してください。
ステージ1:F12→Application→Cookies→grad_statusの値をclearedに変更してから「権限を確認する」を押してください。
ステージ2のBase64文字列をConsoleでatob('...')に渡すと、ステージ3で使うパスフレーズが得られます。それを金庫に入力すると最終フラグが表示されます。
📝 まとめ+シリーズ完結のごあいさつ+FAQ
「はじめてのCTF」、これで完結です
全20話、お疲れさまでした。ブラウザの開発者ツールから始まり、暗号、OSINT、デジタルフォレンジックまで、CTFというフィールドの広さと面白さを少しでも体感していただけたなら、このシリーズの目的は達成です。CTFはここがゴールではなく、むしろスタートラインです。ぜひ実際の問題にも挑戦してみてください。
・CTFは許可された環境で安全にハッキング技術を学べる「合法的な遊び場」
・ブラウザ開発者ツール(Application/Elements/Network/Sources/Debugger)はCTF入門の最強の武器
・暗号・エンコードは「逆算できるか」を常に意識して見破る
・OSINTは複数の手がかりをつなぎ、裏付けを取ってから結論を出す
・フォレンジックは「データは本当に消えているか」を疑い続ける技術
・学んだ技術はすべて、許可された環境でのみ使うこと
Q. このシリーズを終えた後、どこで実践を続けられますか?
初心者向けの実在するCTFプラットフォームとして、picoCTF・TryHackMe・OverTheWire(Banditなど)といったサービスが世界的に知られています。いずれも合法的に公開されている学習用の演習環境で、今回学んだ技術をそのまま活かせる問題が多数用意されています。気になる名前は検索して調べてみてください。
Q. 学んだ技術を実際の仕事で使う機会はありますか?
あります。DFIR(デジタルフォレンジック・インシデントレスポンス)担当者、ペネトレーションテスター、SOC(セキュリティ運用センター)アナリスト、セキュアな開発を行うエンジニアなど、多くのセキュリティ関連職でこのシリーズの技術が日常的に使われています。
Q. CTFで身につけた知識を悪用してはいけない理由は?
このシリーズで繰り返し触れてきた通り、技術そのものに善悪はなく、使い方次第で合法か違法かが決まります。許可されたCTF環境や自分の資産以外に対して同じ技術を使うと、不正アクセス禁止法等の対象になります。技術力が高まるほど、その責任も大きくなることを忘れないでください。
Q. もっと上級者向けのCTFに挑戦したくなったらどうすればいいですか?
CTFtimeというサイトで、世界中で開催されているCTF競技の予定や過去問(Writeup)を探せます。このシリーズでは扱わなかった「Pwn(バイナリ攻略)」や「Reversing(リバースエンジニアリング)」といったジャンルもあるので、興味が湧いたらぜひ調べてみてください。
📚 参考情報
- 第1話〜第19話「はじめてのCTF」シリーズ各記事
- OWASP・IPA・SANS等、各話で紹介した参考資料
コメント