NDIAS Automotive/IoT CTF 2026 開催レポート 

はじめに

ndias_x_cartagaitai_logo株式会社NDIASは、2026年5月15日(金)18:00 JSTから2026年5月17日(日)18:00 JSTまで、社員有志で構成されるCTFチーム「cartagaitai」の協力により、車載機器およびIoTデバイスを主対象としたオンラインCTF(Capture The Flag)イベント「NDIAS Automotive/IoT CTF」を開催しました。

まず最初に、本大会に参加いただいた皆さま、本当にありがとうございました。初開催にもかかわらず、多くの方に参加いただき、問題に取り組んでいただけたことを大変嬉しく思います。上位チームの皆さまの高い技術力はもちろん、初めて車載・IoTセキュリティに触れた参加者の皆さまにも、本大会が学びのきっかけとなっていれば幸いです。

そして作問・運営のみなさまもありがとうございました。無事に終わることができて、ほっとしています。

本記事は、本大会の開催・運営を振り返ってまとめたものとなります。

 

開催概要

大会名 NDIAS Automotive/IoT CTF
開催期間

2026/05/15(金)18:00 JST – 2026/05/17(日)18:00 JST
形式 Jeopardy形式
開催形態 オンライン(決勝なし)
チーム人数 制限なし
賞金・商品 なし
主催 株式会社NDIAS
協力・運営 チームcartagaitai
問題数 35問(+2問)

 

開催の目的

近年、自動車やIoTデバイスは、ソフトウェア、ネットワーク、クラウドと接続されるシステムへと変化しており、サイバーセキュリティ対応が不可欠になっています。

ITセキュリティの分野では、CTFを通じて、攻撃と防御を実践的・ボトムアップに学ぶ文化が広がってきました。このような学びの場を、車載・IoTセキュリティの領域にも広げ、解析・攻撃・防御の技術力向上と、同分野のコミュニティ活性化に貢献することを目的として本大会を開催しました。

参加状況

本大会には、以下の規模で登録・参加がありました(大会終了時点で集計)。

登録チーム数 724チーム
1問以上解答したチーム数 419チーム
登録ユーザ数 1,164ユーザ

当初は100チーム前後の規模を想定していましたが、実際には開催5日前の時点で102チーム、開催前日で245チーム、開催当日朝には324チーム、開催5分前では385チーム、と急激に増えていきました。CTF開催情報を纏めているサイト(CTFtime)に掲載され、海外勢の参加登録が急増したことが主な理由です。

結果としては、初開催でありまた賞金・賞品を設けないCTFであったにもかかわらず、車載機器やIoTデバイスを主題とするCTFとして、非常に多くの方にご参加いただきました。運営としても想像以上の規模に驚く結果となりました。

最終結果

最終結果の上位10チーム、及びスコアボードの推移は以下の通りです。同点の場合、最終スコアに到達した時刻が早いチームを上位としています。
ndiasctf2026_top10

いくつかの上位チームからはコメントも頂いているため、掲載いたします。

ndiasctf2026_2

 

出題した問題について

  • 問題設計
    本大会では、何らかの形で車載・IoT機器に関係する全35問を出題しました。

ndiasctf2026

車載・IoTセキュリティでは、単にソースコードやバイナリを読むだけでなく、通信、ハードウェアに近いデータや波形、制約のある実行環境などを考慮する必要があります。また、利用されるプロトコルも、一般的なITシステムで広く使われるものとは異なる場合があります。

本大会でも、そのような実践的な観点を問題設計に取り入れました。CAN通信、ファームウェア解析、組込み環境、波形解析など、車載・IoT機器に近い題
材を扱うことで、参加者が実際に対象を観察し、仮説を立て、試行錯誤しながら解法にたどり着ける構成を目指しました。

特にCAN通信に関する問題では、参加者がリアルタイムにサーバと通信できないと面白さが大きく損なわれます。そのため、CAN通信をTCPでトンネリングし、ユーザからの接続ごとに分離された環境を起動するためのインフラを新規に用意しました。

  • 難易度バランス
    問題の難易度は、参加者の経験・スキルに応じて幅広く楽しめるよう、以下のようなバランスを意識しました。
難易度 問題数 設計意図
Tutorial 3 問題環境や操作に慣れてもらうための練習用問題
Easy 17 初心者でも取り組みやすく、車載・IoTセキュリティに触れる入口となる問題
Medium 10 ある程度の技術知識や解析経験を必要とする問題
Hard 5 高い解析力、実装力、発想力を要求する高難度問題

半数を超える問題は、CTFに慣れていない参加者でも、手を動かしながら学べることを重視して作問しました。一方で、中級者・上級者向けに、専門的な知識や深い解析を必要とする高難度問題も用意しました。

一部には、学習コストが高く、大会中にゼロからキャッチアップするのが難しい問題も含まれています。ただし、そのような問題であっても理不尽さはできる限り減らし、数チームが解ける程度の難易度を想定して設計しました。


  • 学びのある問題作り
    本大会では、参加者にとって「解いて終わり」ではなく、解いた後に技術的な学びが残ることを重視しました。CTFの本質は、遊びながら実践的に学べる点にあると考えているためです。

    題作成にあたっては、特に以下の点を意識しました。

    各問題に、参加者へ伝えたい「何か」を持たせること

    載・IoTセキュリティに近い考え方を求めること
    際に解析対象を観察・試行錯誤する必要があること
    初学者でも段階的に理解できる導線を用意すること
    級者にも十分な歯ごたえがある問題を含めること

    作問者がそれぞれの問題に込めた意図や、伝えたかった技術的なポイントが、少しでも参加者に届いていれば幸いです。

  • AI対策
    本大会では、AIを用いた単純な自動化だけでは容易に解けないよう、問題構成にも一定の工夫を取り入れました。AIの利用自体を制限するのではなく、「AIだけでは解けないが、人間がAIの助けを借りれば解ける」程度のバランスを目指して設計・作問しました。

    しかし、作問・レビュー時点ではAIが解けなかった問題の一部が、大会直前にはAIに依頼するだけで解けるようになっていることも確認されました。生成AIの性能向上が非常に速く、作問側の想定を短期間で上回ってくる場面があったことは、今回の大きな発見の一つでした。修正が間に合わない問題については、そのまま出題する判断をしました。

    また、完全自動化されたAIでは解きづらくするため、いくつかの施策を問題中に取り入れました。以下はその一例です。

    (1)    ファイルサイズの大きい問題を作成する。
    (2)    ダミーのフラグを複数用意し、誤判定を誘う。ただし、それがダミーであることは人間には明らかに分かるようにする。
    (3)    可読文字列の間に不可視のパディングを含め、人間には読めるが、機械的には意味を取りづらくする。
    (4)    画像にヒントやフラグを含め、単なるバイナリ列ではなくメディアファイルとして解釈する必要がある問題にする。
    (5)    音声にヒントやフラグを含め、メディアとして再生・解釈しないと解けない問題にする。
    (6)    明らかな攻撃対象経路を用意しつつ、想定解は別経路に置く。ただし、問題文中には人間が気付けるヒントを含める。
    (7)    QEMUによるエミュレーション、Docker内での動作、リモート環境への侵入後のピボットなど、特殊な実行環境を前提とする問題を含める。
    (8)    専用ツールの利用が重要となる、ホワイトボックス暗号や波形解析の問題を採用する。
    (9)    解析ツールが豊富なx86-64中心の問題だけでなく、ARMベースのバイナリ問題を多く採用する。

    結果として、これらの施策の多くは最終的に突破されてしまったように見えます。出題側は一度問題を公開すると大きな修正が難しい一方で、参加者側は解析環境やAIの使い方を随時改善できます。この非対称性は、AI時代のCTF作問における難しさとして強く感じました。

    方で、大会中に特に効果が高かったと感じた施策は、明らかな攻撃対象経路を用意しつつ想定解を別経路に置く方法でした。AIは一見攻撃できそうな箇所に注力し、他の探索を十分に行わない傾向があるように見えました。

    次に効果があったと感じたのは、音声ファイルを用いた問題です。ファイルシステム上のMP3ファイルを再生するだけで解ける非常にシンプルな問題であっても、相対的に解答数が少ない傾向を保ち続けたのです。これは推測ですが、現在のAIを用いた自動解析では、ファイルをメディアとして再生し、人間のように意味を解釈する処理がまだ十分に行われていないためだと考えています。

    今回の作問を通じて、AI時代においても、対象を観察し、違和感に気付き、仮説を修正しながら進める人間の解析力は依然として重要であることを再確認しました。

スコアボードから見る競技の傾向

近年のCTFでは、AIを用いた解法探索や自動化の影響が大きくなっています。特に賞金付きのCTFでは、競技そのものよりも報酬を目的とした参加が増え、AIや自動化による大量試行、問題文や添付ファイルの機械的な解析、競技環境への過度な負荷などが課題になることもあると聞いています。

NDIAS Automotive/IoT CTFでは、こうした過度なインセンティブを避けるため、あえて賞金・賞品を設けませんでした。結果として、参加者から大きな不満はなく、問題の質とテーマ性が十分であれば、賞金がなくても多くの参加者に楽しんでもらえることを実感しました。今回の参加規模や競技中の反応を見る限り、技術的に面白い問題、学びのある問題を用意することが、CTFにおいて最も重要な価値であると改めて感じています。

一方で、本大会でもAIの利用は一般的なものになっていました。特に「AIを禁止しない」ことをルールで明示していたこともあってか、参加者アンケートでは、AIを利用した参加者が7割を超えており、AIを使いながらCTFに取り組むことは、すでに特別なことではなくなりつつあります。そのような状況の中で、開始から全問正解まで約6時間にわたって耐えたことは、運営として大きな成果だったと考えています。単純な検索やAIへの入力だけでは解けないよう、実際に対象を観察し、仮説を立て、手を動かして検証する必要がある問題を多く用意したことが、一定程度機能したものと考えています。

もちろん、6時間で全問正解に到達したチームがいたこと自体も非常に見事でした。AIを利用したとしても、AIが常に正しい方向へ導いてくれるわけではありません。特に、車載システム、IoTデバイス、ファームウェア、波形解析、Exploit開発のような分野では、出力の妥当性を判断し、誤った仮説を修正し、必要に応じて手作業で解析を進める力が求められます。また運営の不手際により、サーバが不安定だったタイミングもあります。短時間で全問を解き切ったチームには、AIを単なる答え生成器として使うのではなく、詰まった箇所を適切に切り分け、問題を理解したうえで軌道修正できる高度な知識と実践的なスキルがあったと考えています。

一方で、参加者アンケートでは、AIを利用しなかった参加者も約3割いました。AIの利用が一般化しつつある中でも、自力で解析し、試行錯誤しながら問題に取り組む参加者が一定数いたことも印象的でした。CTFにおいて、AIは強力な補助ツールになり得ますが、すべての参加者が同じ使い方をする必要はありません。AIを活用して効率的に進める参加者もいれば、あえて自分の知識と手作業で解き進める参加者もいます。本大会では、そのどちらの参加スタイルに対しても、学びや楽しさを提供できる問題設計を目指しました。

AI時代のCTFでは、AIを使いこなす力と同時に、AIを使わずに対象を観察し、理解し、粘り強く解析する力も引き続き重要だと思います。今回の結果は、車載・IoTセキュリティCTFが、さまざまな参加スタイルを受け入れながら、実践的な技術力を磨く場になり得ることを示していると考えています。

運営としての振り返り

初開催でありながら、多くの参加者に登録いただき、想定を大きく上回る規模での開催となりました。

運営面では、以下の点を重視しました。
・大会の公平性
・問題品質の確保
・初心者から上級者まで楽しめる難易度設計
・競技環境の安定性

特に問題品質については、参加者に学びが残ることを意識しました。単に検索や自動化で解ける問題ではなく、対象を理解し、手を動かし、検証することで解法にたどり着く問題を目指しました。

一方で、初開催で見えた改善点もありました。問題文の明確化、スコアリングの傾斜設定、スコアサーバのリソース割当、スコアサーバの設定ミスしやすい箇所、など項目は多岐にわたります。詳細はここでは挙げませんが、これらは知見として、今後のイベント開催に活かしていきます。

終わりに

2026年6月から7月頃に、本大会の日本語解説会を予定しています。解説会では解法だけでなく、問題作成時に意識した点なども紹介する予定です。

また、次回開催については現時点では未定ですが、来年以降も継続開催できるよう検討していきます。

NDIASは今後も、車載システム、IoTデバイスを中心としたセキュリティ技術の発信、研究開発、セキュリティ人材育成、コミュニティへの貢献に取り組んでまいります。

お問い合わせ