前置き：

記事タイトルの犯人の言葉に触発されてプロットを書いてみたけど、自分で小説にする気は無いのでこっそり公開してみようと思った。創作として後味が悪い小説（プロット）を書いてみたかっただけで、現実のあっしとしてはあの事件については犯人に憤りしかない。何てことしてくれたんだと思う。

プロット：
「死刑になっても良い」とうそぶく犯人。対して与えられた刑罰はユニークなものだった。自分が書いた小説のどこが盗まれたのか（盗まれてなかったのか）を専門家によって徹底的に分析し、それを犯人に解説し続けるというもの。犯人が書いた（書き終えていないものも含め）「小説」は正直駄作ばかり。どこがどう駄作だったのかと言うと、独りよがりな文章、いろいろ説明が不足しているなど技術的な欠陥もさることながら、最も致命的なのは展開が予想できすぎるのだ。簡単に言えば陳腐。どこかで見たようなものばかり。それを徹底的に突き付ける。最初は黙っていた犯人も、容赦のない指摘に半狂乱になったり、心を閉ざすような態度を採り、精神的には地獄のような責め苦であることがうかがえた。
しばらくして犯人は冷静になっていき、自分がしたことの重さを実感し始め、悔いを口にするようになる。ではこのあと君はどうするの？と問われると、罪を償いたいが、到底許されるものではないので、死刑になったとしても受け入れます、と、以前の「死刑になっても良い」とはかなり異なるニュアンスで言い始める。そして犯人は死刑になり、異例の早さで刑は執行される。
犯人の遺品から小説が見つかる。専門家の分析を延々聞かされていた犯人は、いつの間にかそれを自らの血肉とし、オリジナリティのある小説をものにしていたのだ。すいすい読める、ページを繰る手を止めない小説。この犯人が喪われることの文化としての意味はどうなのか？
さらに後味が悪いことに、疑問に感じた専門家が追跡調査をしてみたところ、犯人のプロットがアニメーションの原作者の目にとまっていた可能性があることがわかった。本当に盗まれていなかったのか？拙い技術や全体の出来の悪さ、そういうものに隠蔽されて、表に出てこなかっただけではないのか？あるいは、研究などではよくある同時多発的発想事象があっただけなのか？当事者のどちらも今はこの世に無く、これ以上の追跡は無理だ。

☆グランドサイバーセキュリティキャンプ＠韓国・ソウル（2019年：https://www.security-camp.or.jp/event/gcc2018.html）
韓国の人材発掘育成プログラムBest of Bestの拠点を借りて、キャンプ事業初の国際展開に前半だけだけどアテンドしてきた。各国の思惑とかが交錯する中、実現にこぎ着けたkanaさん始めとする各国の方々に感謝したい。それほど可能性を感じる、でも難しいプロジェクトだと思った。
ちなみに2020年の開催情報はこちら＞https://www.security-camp.or.jp/event/gcc_tokyo.html

☆IHSI2019＠アメリカ・サンディエゴ（2020年の開催情報しか見当たらないｗ＞http://www.ihsint.org/）
サンディエゴは久しぶりでしたが、散歩道がたくさんある気候の良いところなのでとてもリラックスできた。この学会は3回目くらいだったんだけど、数理モデル的なアプローチでやってる人たちは他に居なくてどうなの？とは思った。ただ、似たアプローチの萌芽はあり、今後に期待できるかな。

☆Offensive Security Conferece2019＠ドイツ・ベルリン（https://www.offensivecon.org/agenda/2019/）
初参加。昨年から始まったカンファレンス。こういうカンファレンスは本当に貴重。スポンサーもとても少なくて（https://www.offensivecon.org/sponsors/2019.html）こぢんまりとしているのも良かった。日本人は他に一人しか来ていなくて、帰国したら自慢したるって思った（笑）。ま、アンソニーにはみっかっちゃったけどｗ
ちな2020年情報>https://www.offensivecon.org/

☆RSAカンファレンス＠アメリカ・サンフランシスコ（これも2020年の情報しか見当たらないｗ＞https://www.rsaconference.com/）
Japanエリアを作ってNICTのサイバーセキュリティ研究室の方々もNIRVANAとかひっさげて参戦してた。セキュリティに関わるビジネスの総見本市って感じで、ブースの数はとても多く、1日じゃ見切れないほどだった。ビジネス的視点が必要な方々は様子見に行くと良いと思うけど、あっしの趣味とはちょっと違うかなぁ（笑）。

☆SXSW＠アメリカ・オースティン（これも2020年の情報しか見当たらないなｗ＞https://www.sxsw.com/）
2度目のSXSW。目的はSecHack365の若者達をハッカソンに送り込んだり、ベンチャービジネスってどんなもんなのか感触を掴んでもらったりすることだけど、2年連続してハッカソンでスポンサー賞をいただけたのは望外。日本企業が意外と躍進？しているのも興味深いけど（撤退する企業もある）、新しい何かが転がってるのがとにかくおもしろい。ゲームやe-Sportsのセッションとかもとても勉強になった。このイベントは若者にはとても良い刺激になると思う。

☆CanSecWest＠カナダ・バンクーバー（2019年情報：https://cansecwest.com/agenda.html ただ、サイトポリシーが怪しくてすぐ内容とか今年のに変わりそうではある（笑））
PWN20WNでテスラをやってた（笑）。あのコンテストは可視性とか全く気にしていないけれど（笑）、それがまた楽しいところではある。カンファレンスの講演は玉石混淆だった。目利き勢がパワーダウンしたからかな？

☆Hack in the Box＠オランダ・アムステルダム（2019年情報：https://conference.hitb.org/hitbsecconf2019ams/）
過去マレーシアでやってたのは行ったことがあるけどもアムステルダムは初。アムステルダムはすごく観光地化していて人が多かった。行ってる時にちょうどアヤックスがトッテナムとチャンピオンズリーグ準決勝セカンドレグ、しかも地元アレーナで戦う日だったりしたけれども、衝撃の敗退にもかかわらず暴れている人は見なかった（笑）。ただ、レストランで飲みながら観戦している人たちを横目に食事していたけど、衝撃の失点時「ざっけんなよ！」的に瞬間風速が吹いたくらいｗ。カンファレンスは楽しかった。春山さんのセッションを聞き損ねてしもうた（笑）。
2020年アムステルダム開催の情報＞https://conference.hitb.org/hitbsecconf2020ams/

☆AHFE2019＠アメリカ・ワシントン（2020年情報しか見当たらないｗ＞http://ahfe2020.org/）
畑田さんと飲んだ（笑）。ワシントンは2回目だけど、前回はトランジットだったので滞在時間はごくわずか。2回目の学会自体はけっこう大規模で、細分化されたさまざまなセッションが行われるもの。ポスターとかにちらほら日本の大学とかが来ていた。ここの学会は発表後なにがしかのフィードバックはあるんだけど、それほど活発なわけではない。数理モデルアプローチは学会では同志が少ないんだよなｗ。

☆BlackHat&DEF CON＠アメリカ・ラスベガス（2019年情報：https://www.blackhat.com/us-19/、https://www.defcon.org/html/defcon-27/dc-27-index.html）
アメリカのブラックハットは実は初参加。日本人がとても多かった。講演は新井さんも書いてたけど、なんか潮目が変わってきた感。AIAIしてなくなり、ハードウエア寄りのものが増えている。DEF CONは何気にキャンプ初日との絡みで2日くらいしか見られなかったけど、あいかわらずヴィレッジの勢いが凄くて、どんどん増えてる。来年はカンファレンスセンターが新設されてそこに移るようだし、さらに規模がでかくなるのかなぁ。世界中から2万とか人が来るから会費？的なものでもまかなえてるってことなのか。日本で同様な規模感でやろうとするなら幕張メッセとかビッグサイトとかになるんだろうけども、CCCもそうだけどどういう収支になってるんだろう？規模感はほんとうらやましい限り。
2020年情報＞https://www.blackhat.com/upcoming.html#usa

☆r2con＠スペイン・バルセロナ（2019年情報：https://rada.re/con/2019/）
これだけサッカー好きなのにバルセロナは初。いやー良い街だったｗ。r2conもOffensive Conと同じく小規模でスポンサーほぼ無し。ワークショップとかも開催されず、ハコひとつだけ。でもすごく楽しかった。開発者たちの集まりはやっぱ興味深いね。あとパンケーキさんはあり得ないほどパワフル。

☆ICEEL＠スペイン・バルセロナ（2019年情報：http://www.iceel.org/ ただし、いずれ内容は2020年のものに置き換わるはず）
まさかのバルセロナ2連発（笑）。ここではすごい出逢いがあって大収穫だったけれど、e-Learning系列の学会は初参加だったんですが、正直なところ質問とかゼロで出会い以外の収穫は無かったわー。残念。しかしほんとうにバルセロナは良いところだったなー。すごく古い歴史のあるバルセロナ大学にも行けたけれども、その横に日本料理屋というかラーメン屋がオープンしてて笑った。までもr2conで出会ったエンジニアたちも日本語ちらほら知ってたんだよな。嬉しい限りだけど何かブームとかあるんだろうか。アニメは好きと言ってたけどねー。アニメが偉大ってことかｗ。

☆CCC＠ドイツ・ライプツィヒ（2019年情報：https://events.ccc.de/congress/2019/wiki/index.php/Main_Page）
毎年行ってるけどやはりCCCはおもしろい。ワークショップがすごく充実してるし、講演もときどきだけどエポックなのが出てきたりする。今年はやっぱプレイステーションだったかなー。SecHack365の成果イルミパケットをデモれていろいろ感触を得たので、来年は出展やワークショップとかもっと大々的にやりたい。

一度このブログでも書いたけど、その大幅増補版。JNSAのメルマガよりさらに加筆してるヽ(´ー｀)ノ

例年SECCONは大きなイベントを1月末、あるいは2月の上旬あたりに北千住の東京電機大学さんをお借りして開催してたんですが、SECCON2018は2018年12月22日～23日に場所を変えて秋葉原UDXのAkiba Squareとダイビルのホールで開催しました。場所を変えた理由はいくつかありますが、ひとつは例年開催する1月も2月も「年度末」というシビアな時期に近いので運営の中の人的に苦しかったから変えてみたかった、ということです。わたし自身は役所に絡む仕事が多いので、一般企業とはちょっと違いますがそれでもやはり年度末は大変です。とはいえまぁ年度末ではなく年末というのも慌ただしいのですが、それでも今回年末にやってみたら年度を通しての大変さは少し軽減されたと感じています。
イベント集客力の強化も理由のひとつです。SECCONには現在多くのスポンサーがついていてそのご支援のもと活動していますが、現在は持ち出しオンリーになっています。そのあたり少しやり方を変えたいとも思ってはいますがなかなか。従って、ご支援が多ければ多いほどやれることが増えるのです。そしてまだまだやりたいことは多いのです。
そういう意味ではクリスマス直前という時期自体微妙だったかも知れませんが、少なくとも場所を秋葉原にしたのは効果があったと感じています。電気街口に近く、通り道として利用する人も多い開かれたエリアで、中が見える会場で開催したのですが、ふらっと入ってくる方々も予想以上に多かったようですし。その点子供連れを意識したワークショップを開催したことも大きかったかもしれません。
ワークショップはおかげさまでどれも立ち見まで出るほど大人気となりました。どんなものだったのかご紹介しましょう。

• SECCON実行委員の白神一久さんによる「SECCON 2017 国際大会決勝戦問題Brainhackで遊んでみよう」

• SECCON実行委員の竹迫良範さん、SECCON beginnersの前田優人さんによる「USBファームウェア改造ワークショップ」

• SECCON実行委員でありCTF for GIRLSの中島明日香さんによる「出張版! CTF for GIRLS ワークショップ（バイナリ解析編）」

• NTTデータの末吉亜樹子さんによる「出張版! CTF for GIRLS ワークショップ（Web問題編）」

• スポンサーであるLACのアドリアン・ヘンドリック (unixfreaxjp)さんによる「Tsurugi LinuxでCTF入門」

• 同じくスポンサーであるLACのアドリアン・ヘンドリック (unixfreaxjp)さんによる「radare2でソフトウエア解析入門」

• SECCON実行委員の小出洋先生による「初心者向けハンダ付けワークショップ」と「BadUSBで遊ぼう」

• SECCON実行委員の白木光達さんによる「初心者向けゲームセキュリティワークショップ」

• スポンサーであるNECの園田健太郎さんによる「【学生限定】あなたのセキュリティ技術力を試そう！CTFワークショップ」

• SECCON実行委員の坂井弘亮さんによる「ITかるたを作ってみよう！」（親子参加歓迎）

• セキュリティ・キャンプ講師／今岡工学事務所の今岡通博さんによる「通信の基礎～LANケーブルを自作して通信をモニタリングしてみよう～」

• スポンサーである富士通でセキュリティマイスターの称号を持つ坂井弘亮さん（SECCON実行委員でもあります）による「セキュリティマイスター道場(SecDojo) ～SECCON場所～「第6回バイナリかるた世界大会！？ in Akihabara」」

• SecHack365トレーナーの川合秀実さんによる「初心者向けプログラミング体験ワークショップ」（親子参加歓迎）

複数回開催したものもあるのでTOTALで18個の開催となりました。
これだけたくさんの企画ができるのもSECCONならではと言えるのではないでしょうか（自慢）。SECCON祭りと言えばワークショップ、という風にイメージしてもらえたらと思います。

また今回は講演のプログラムを企画するプログラム委員として新たにさまざまな方を巻き込んでしまいました（笑）。そのコンテンツ力のおかげで、どの講演も多くのお客さんに来て頂けました。
こちらもご紹介しておきましょう。

• 株式会社サイントの岩井博樹さんによる「脅威インテリジェンスから垣間みえる海外の諸事情と僕らの未来」
• 湯淺墾道先生（情報セキュリティ大学院大学）、北條孝佳先生（西村あさひ法律事務所）、小屋 晋吾 さん(株式会社豆蔵ホールディングス）による「行列のできるSECCON模擬法廷」
• ssmjpの方々（@nekoruri, @number3to4, @YuhoKameda, @ym405nm, @_keihino, @Typhon666_death, @ken5scal, @GreenShallot）による「ssmjpは何しにSECCONへ? (Why did ssmjp come to SECCON?)」
• SECCON実行委員の忠鉢洋輔さん、マクニカネットワークスの凌翔太さん、そしてYOROZUプレゼンターによる「よろずトーク」。

おっと実は忠鉢さんは諸事情で登壇できませんでしたので、代わりをわたし園田が務めました（笑）。なおこのセッションはYOROZUとして展開したセキュリティツール自慢展示の方々にプレゼンターとして御登壇いただきました。

• 小池倫太郎さんによる「日本からExploit Kitはどのように見えるのか？」

これらの講演にもたくさんの人に来て頂けました。
https://2018.seccon.jp/seccon/2018akihabara/

ところでいきなりYOROZUというのが出てきましたが、昨年度に続いて2回目の実施となるYOROZUは簡単に言えば自作ツール自慢のイベント内イベントです。BlackHatのArsenalやDEF CONのDemo Labなどと同様のもので、常設コーナー（ブース）で自慢したり、LT大会などで自慢したりします。実際海外のカンファレンスでArsenalなどに出た経験のあるSECCON実行委員の忠鉢さん、凌さんが中心になって企画したものです。
前々からの業界的な課題だと思いますが、日本のセキュリティ業界はもの作りとちょっと離れた関係にあり、独自のツールやプロダクトというのは非常に少ないのが現状です。そうした問題意識から例えばセキュリティ・キャンプではもの作りそのものに挑戦するゼミなどがあったり、NICTでSecHack365というロングハッカソンを開催したりしているのですが、そもそもみんなで自慢しようぜ、という企画はセキュリティに関わるもの作りを盛り上げる意味でとても重要だと思います。今回はロケーションのこともあって意欲的な観客以外はなかなか来て頂けなかったのですが、はもっと導線等を検討して、ブースに人が絶えないような形にしていきたいと思っています。
YOROZUの詳しいレポートはこちらで記事になっています＞ https://ascii.jp/elem/000/001/796/1796073/

CTF（Capture The Flag）は国際大会の方が素晴らしいデッドヒートとなり、盛り上がりました。CTFは見ている人にその楽しさや難しさを感じてもらうのがとても難しいのですが、年々改良されるNICTの井上大介さん部隊によるNIRVANAのインタフェースの良さに加えて、会場のレイアウトに余裕が出た今年は実況セッションや問題解説セッションなども加えてわかりやすさを向上することができたと思います。近年急速に勢いを増しているeSportsなどの先例を参考に、次回開催時ももっともっとわかりやすいビジュアルや解説にチャレンジしていきたいと考えています。
ちなみにどんな問題が出されたのかご紹介しておきましょう。
CTFの出題形態はクイズ形式と攻防戦形式、そしてKing of the hill形式というものがあります。今や世界では年間170もの国際大会が開催されているほど盛んになっていますが、実はそのほとんどがクイズ形式です。その理由は小規模な問題を数多く用意すれば良いので作問側も作りやすいからです。それに対し攻防戦は運営のコントロールが難しいためこの形式はあまり見ません。King of the hillは攻防戦よりコントロールしやすいと言えますが、こちらも数は少ないです。SECCONは毎年のファイナルでこの数少ないKing of the hillを選んでいますが、すべては比較的コントロールしやすく難易度の高い問題を出しやすいからです。
今年の国際問題は以下のようなものでした。

• 壱：「攻撃」検知力を競う問題で、謎文字列を当てる問題が4つあり、それぞれを解くと攻撃点を得る。次に、その謎文字列の入力を検知するルールを作成し、最も攻撃検知力が高い（≒網羅性が高い）検知ルール（シグネチャ）を書いたチームが防御点を総取りする。防御ポイントに対する判定は5分に1回行われる。

• 弐：イメージデータを入れて反応を見ながらオリジナルのイメージデータと、その識別装置の特性を探る問題。RGBごとにデータを入れると何％くらい近いという反応があるので、反応を見て探ることができる。2時間ごとに難易度などが変わる。

• 参：アセンブラ力等を問う問題で、一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて難読化し、それを他チームに公開する。公開したプログラムを解析して難読化されたものを復元できたら他チームはそれを撃墜できたことになる。撃墜されるまでは君臨し（つまり防御点が入り）続ける

• 肆(四)：CPUに独自命令を追加した疑似環境で実行したらパスワードをGETできるプログラムが配布される。プログラムは実行上の制限がある上に徐々に中身が変化するため、段々推測が困難になっていくので、プレイヤーは同様疑似環境を自分で作成できるようになる必要がある。なおマルチアーキテクチャ（鬼）。

ちなみにこの四番の出題者は坂井さんなのですが、2月のオープンソースカンファレンス（https://www.ospn.jp/osc2019-spring/modules/article/article.php?articleid=4）で詳しく解説するセッションをされていました。

• 伍：制限されたシェルにログインし、プログラミング関連のクイズ（技術とトライアルと知識が必要）を解くとじゃんけんへの参加権を得る。クイズは7問あり、すべて解くと攻略点を得られる。防御点は他のチームとじゃんけんして勝てばGETできる

• 陸(六)：Code-golf問題。MD5とSHA256のハッシュを計算するプログラムで最小のものを作ったら防御点の総取り状態を獲得できる。

ちなみにこういう問題を作りたい！という方がいらっしゃったら、info@seccon.jpの方までご連絡ください（笑）。

最終結果は日本勢が驚きの1-2-3フィニッシュ。国際大会となって今回で5回目で、これまで韓国勢の4連覇を許していましたが、東京大学のチームTSGが5連覇を阻止しました。優勝したTSGには経済産業大臣賞が贈られました。

今年は場所を広くしたおかげで、国内大会も同時に開催することができました。これはなかなか運営的にはチャレンジでしたが、二つの競技用ネットワークを安定的にハンドルするという難題をクリアしてくれたSECCON NOCのおかげでトラブル無く乗り切れました。大規模イベントの場合は有線・無線LAN等のサービス提供を安定して行うことはけっこう大変なのですが、機材のスポンサーになってくださったYAMAHAさんの多大なる技術的サポートのおかげもあり、競技用ネットワークに加えて会場のどの場所も安定供給を実現できたと思います。
国内大会の問題もご紹介しておきましょう。

• 天橋立：XSS Challenge(クロスサイトスクリプティング問題)をチーム間で1問ずつ出題し合う。出題した問題が解かれるまで防御点が入り続ける。

• 松島：乱数発生器を使ったビデオポーカー。乱数発生器の性質を解析し、良い役を狙う。フルハウス以上を出すと攻撃フラグ1の100点が手に入る。4カード以上を出すと攻撃フラグ2の300点が手に入り、防御フラグの入力ページに飛ぶ。

• 宮島：アセンブラ力等を問う問題で一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて投稿する。誰も解いていない問題で、指定の通りに動作したら防御点を獲得できる。より短くて同じ動作をするプログラムが投稿されるまで防御点を獲得し続ける。攻撃点付きの問題を解いた場合には攻撃点を獲得出来る

こちらは国内では老舗のチームdodododoが優勝しました。学生で最終週だったチームm1z0r3と個人ではHarekazeのst98さんに文部科学大臣賞が贈られました。その他の順位などの結果はWebに掲載しています。
https://2018.seccon.jp/2019/01/final-result-of-seccon-ctf-2018.html

今回もSECCONらしいユニークな（笑）問題を揃えることができたと思っていますが、2012年からこのイベントを開催している中の人としては、問題作成で協力してくれる方をもっともっと増やしていきたいですね。そのための企画もいろいろと検討中ですのでご期待ください。
SECCONも8年目に入るわけですが、今年もおそらく冬に「お祭り」を開催することになりそうです。そのためにはもちろん、スポンサーさんが集まってくれることが重要なのです（絶賛募集中）。われわれにできることは中身の質の向上と充実ということになりますが、同時に今年は発信力も増強していきたいと考えています。これからもSECCONにご期待ください。

SECCON2018関連記事一覧：

• JNSA、ハッカー競技会「SECCON2018」を開催--秋葉原が舞台（2018年6月12日）https://japan.zdnet.com/article/35120722/
• 国内最大級のCTF「SECCON 2018」が開催 - 予選は10月、決勝は12月に（2018年6月12日）http://www.security-next.com/094343
• セキュリティコンテスト「SECCON 2018」を12月に開催（2018年6月29日）https://www.atmarkit.co.jp/ait/articles/1806/29/news056.html

• 「SECCON 2018」 が一般参加の事前登録を受付中 - プログラムも公開（2018年12月6日）http://www.security-next.com/100699

• アキバで「SECCON 2018」が開催中 - 親子で楽しめるコンテンツも（2018年12月22日）http://www.security-next.com/101281

• 「SECCON CTF 2018」東大学生チームが優勝 - 日本チームが上位独占（2018年12月27日）
  http://www.security-next.com/101404

• 自作セキュリティツール展示会「YOROZU」、SECCONで異彩を放つ（2019年01月10日）https://ascii.jp/elem/000/001/796/1796073/

• 新生SECCON～国際大会で第1位－第3位を日本勢が独占！（前中後）（2019年1月25日、28日、29日）
  https://www.data-max.co.jp/article/27496/1/
  https://www.data-max.co.jp/article/27497
  https://www.data-max.co.jp/article/27499

• Windows 95 最速インストールRTAから「コードゴルフ」まで。知られざるコンピュータ競技の世界（2019年4月2日）
  https://hbol.jp/189242