こんにちは。セキュリティエンジニアのSEOK KI YEOです。LINEヤフー株式会社は、2021年から毎年、グローバルセキュリティ技術大会であるLINE CTFを開催しています。LINE CTFは、セキュリティに関心を持つ世界中の研究者やエンジニアが共に問題を解きながら、互いのアプローチを学び、技術的に成長することを目的としたイベントです。2025年も多くのセキュリティエンジニアの皆様に関心をお寄せいただき、LINE CTFは無事に幕を閉じました。今回の記事では、LINE CTF 2025がどのように行われたかをご紹介します。
CTFとは?
CTF(capture the flag)とは、セキュリティスキル・知識を競う技術コンテストの代表的な形式の一つです。参加者は、制限時間内に問題に隠された文字列フラグ(flag)を見つけ出し、提出することが求められます。そのフラグを得るためには、ウェブアプリケーションの脆弱性分析、システムハッキング、暗号解読、リバースエンジニアリング(reverse engineering)などさまざまな技術を総合的に活用する必要があります。
CTFは単なるハッキングシミュレーションではなく、セキュリティ知識を実践に活かせる学習の場として評価されています。参加者は問題��を解く中で、自然にネットワーク構造やOSの内部動作、ソフトウェア脆弱性の原理を理解できるようになります。また、世界中の研究者と技術を共有し、最新の攻撃手法と防御戦略を学ぶことができます。
このような点から、CTFはハッカーコミュニティの中心的な文化の一つとして定着し、企業や機関、大学においてもセキュリティ人材の発掘や技術検証の手段として広く活用されています。
LINE CTFが開催された背景とは?
LINEヤフーがこの大会を継続して主催する理由は、単に競争の場を設けるためではなく、セキュリティ技術の共有とコミュニティの活性化を図るためです。参加者は大会に参加し、実際のサービス環境を模した問題を解きながら、最新の攻撃・防御手法を学び、実践します。これをベースに出題者は、セキュリティ研究の方向性を再確認し、技術の適用可能性を検証するとともに、実戦感覚を維持しています。さらに、グローバルコミュニティとの交流を通じて組織全体のセキュリティ能力を強化しています。このような参加者と出題者のインタラクションは、企業のセキュリティ意識の向上と文化醸成にも好影響を与えます。そのため、LINE CTFは、ハッキングコンテストの枠を超え、セキュリティ技術を実務的に探究し、コミュニティの発展に寄与するためのプラットフォームであると言えます。
2021年に始まったLINE CTFは、2024年からはLINE株式会社とヤフー株式会社の統合により誕生したLINEヤフー株式会社の体制のもとで、大会を運営しています。毎年の継続的な開催を通じて、参加者層や問題の質、運営品質などあらゆる面で高い評価�をいただくようになりました。今ではアジア地域を代表するCTFイベントの一つとして確立され、LINEヤフーのセキュリティ技術力とコミュニティ参加文化を象徴する大会へと成長を遂げています。
LINE CTF 2025の特徴は?
2025年のLINE CTFは、運営構造と技術的な方向性の両面で意味のある変化を示しました。
最も顕著な変化は、運営体制の再編とグローバル協業体制の強化です。例年は日本のセキュリティチームが中心となり、韓国とベトナムのエンジニアが参加する形でしたが、今年は韓国のセキュリティチームがイベントの準備を主導しました。また、ベトナムのセキュリティエンジニアが最も多くの問題を出題して大会に情熱と技術的な深みを加えたほか、運営経験が豊富な日本のセキュリティチームがアドバイザーと技術レビュー担当としてサポートしました。さらに、日本と韓国のセキュリティエンジニアも中核となる問題の作問を担当し、以前よりもはるかに多様で協力的な体制が構築されました。
技術的な側面では、AIの活用が増えた環境を考慮し、AIが利用できる環境下でも公平性を維持できる方向で問題を設計しました。AIによるコード分析や自動化ツールの活用を念頭に置き、そのようなツールの使用有無に関わらず、参加者が問題の核心となる概念を理解して論理を構築しなければ解決できないような設計を心が��けました。例えば、一部の問題では、問題を設計する際にAIが誤った分析を出すように誘導する要素を組み込んでAIだけでは解決が難しい構造にし、難易度も調整しました。
運営面では、LINEヤフーの体制に合わせた事務手続きと内部承認プロセスを初めて適用しました。出題、運営、レビューの各段階のスケジュールが新たに調整されたことでプロセスが以前より緻密なものとなり、これによって大会の品質検証と運営の安定性をより体系的に管理できました。
結果として今回のLINE CTFは、運営構造の多角化、AI時代を考慮した問題設計、そして組織統合後の体系化された運営プロセスの適用という、3つの変化を経験した年となりました。
どのような形式で行われますか?
CTFにはさまざまな運営方式があり、代表的なものとしてJeopardy、Attack &Defense、Mixedの3つの形式が広く採用されています。
- Jeopardy形式:難易度に応じて異なる配点が与えられた独立した問題を複数出題し、参加者はその中から好きな問題を自由に選択して解決していく方式です。参加者は問題を解いて隠されたフラグ(flag)を見つけ出し、それを提出することで得点します。制限時間内に最も高い得点を記録したチームが優勝となります。ウェブ脆弱性、バイナリ解析、システムエクスプロイト(exploit、脆弱性攻撃)、暗号学など多様な分野から出題し、実際のサービス環境で発生しうるセキュリティ課題をベースに問題を構成します。
- Attack & Defense形式:各チームが自チームのサーバーを防御すると同時に、他チームのサーバーを攻撃するリアルタイム対戦方式で��す。実際のネットワーク環境に近く、セキュリティの実務経験が豊富な参加者に好まれますが、運営難度が高いため主にオフライン大会で採用されます。
- Mixed形式:上記の2つの形式を組み合わせ、Jeopardyの問題解決と攻撃・防御ミッションを並行して行う方式です。
LINE CTFはオンラインで誰でも自由に参加できるようJeopardy形式を採用しています。参加者は24時間、チーム単位で協力して問題を解き、得点を積み上げます。2025年の大会では、合計13問の問題(Web:6問、Pwnable:4問、Reversing:3問)を出題しました。プラットフォームはオープンソースベースのCTFd(CTFフレームワーク)をカスタマイズして運用し、参加者同士のコミュニケーションはDiscordを利用しました。
この形式の最大のメリットは、純粋に参加者の分析力と問題解決能力で勝敗が決まる点です。参加者は、攻撃・防御のシミュレーションなしに、問題の論理と脆弱性を正確に理解して初めてフラグを獲得できます。そのため、Jeopardy形式の核心は、問題設計の完成度と難易度調整の緻密さにあります。出題者は、各問題の技術的な深さと解法ルートを細かく調整し、参加者が限られた時間内で自身の思考力とツール活用能力を最大限に発揮できるよう構成を追求しています。
LINE CTFは、このようなJeopardy形式の強みを最大限に活かし、参加者が24時間にわたって、純粋な技術的探究と問題解決の喜びに没頭できる環境を提供しています。
問題はすべて自作ですか?作問のノウハウとは?
LINE CTFのすべての問題は、LINEヤフーおよびグローバル子会社(LINE Plus、LINE Vietnam)所属のセキュリティエンジニアが自ら制作しています。作問者は各自の担当分野で得た実務経験や最新のセキュリティ課題を基にアイデアを具体化します。この際、単に難しい問題を出すことを目標とはしません。参加者が問題を解く過程で学び、思考し、成長できるよう設計することに焦点を当てています。
作問のプロセスは大きく分けて以下の3段階を経ます。
- アイデア構想:実際の脆弱性事例や最新のセキュリティ課題から着想を得た問題コンセプトを導出します。
- 技術検証:問題で使用するコードや脆弱性が安全に動作するよう隔離された環境を構築し、再現テストを実施します。これにより、解法ルートにおいて予期せぬ脆弱性や副作用が発生しないことを検証します。
- 内部テスト:別の作問者が問題を実際に解き、難易度、解法ルート、不要な脆弱性の有無などを確認します。
問題の基本原則は以下のとおりです。
- 明確な解法ルートは一つだけ存在し、意図しない脆弱性や代替解法があってはなりません。
- 難易度は「熟練したハッカーが数時間を費やせば解けるレベル」に設定します。24時間行われる大会の特性上、適切な難易度が参加体験の要となるためです。
- 可能な限り最新の技術トレンドを反映し、実務のセキュリティ状況に応用できるテーマを選択します。
2025年は前述のとおり、AIベースの解法を牽制しつつ学習効果を高める方向で問題を設計しました。その結果、参加者が問題の論理を分析し、段階的に結論を導き出す必要がある構造が多く見られました。この設計哲学は、参加者に対して「解くのは難しいが、明�確な正解が存在する問題」を解く満足度の高い体験を提供しました。また、運営側としてもAI時代を迎え、新たな作問基準を定義した試みとして評価しています。
LINE CTF 2025の参加者数はどれくらいですか?
今回のLINE CTF 2025には、644名の参加者、329チームが登録しました。参加者数は前年比で減少しましたが、これまで継続して参加してきた上位チームのほとんどがまた参加したため、大会の競争力は依然として高い水準を維持しました。
参加者は主にアジア地域(日本、韓国、中国など)のセキュリティ専門家や学生、研究者で構成されており、グローバル上位チームの再参加率も高かったです。これはLINE CTFが単なるイベントではなく、毎年技術的に信頼される大会として定着してきた証でもあります。
特にCTFtime(世界中のCTF大会の日程と結果を集計し、参加者が大会の質を評価する代表的なプラットフォーム)における大会評価(weight)が35.0 → 49.1 → 66.5と3年連続で上昇した点は、運営品質が着実に改善されていることを示しています。さらに、今年は問題の深さと完成度のおかげで技術コミュニティ内での評判が向上する結果となりました。
どのチームが受賞しましたか?印象に残った点は?
- 1位:The Duck(韓国、Theori) – 8,399点
- 2位:GMO Ierae(日本、GMO Ierae Security) – 7,604点
- 3位:Odin(韓国、ENKI) – 6,814点
The Duckチームは3年連続で優勝を果たし、圧倒的な実力を見せつけました。大会中盤からは事実上1位が確定している状態でしたが、一方で、2位と3位の争いは最後の10分まで続きました。Odinチームが終了直前まで2位を守っていましたが、GMO Ieraeチームが終了10分前に最後の問題を解き、劇的な逆転に成功しました。
また、4位に入賞した日本のfull_week_engineerチームも序盤から印象的な勢いを見せました。開始早々、猛烈なスピードで問題を解き進めて上位に躍り出たので、運営チームの間でも「今回は新たな強者が現れるのか」と期待が高まりましたが、後半で惜しくも順位を下げてしまいました。
以下のグラフは上位4チームのスコア推移を示したものです。中盤から終盤にかけて激しい2位争いが繰り広げられ、運営側にとっても最後まで予測のつかない、緊張感あふれる大会でした。
運営の準備や当日の進行で記憶に残るエピソードは?
今回の運営チームにとって最大の課題は、参加者の個人情報を収集しないシステムを設計することでした。以前はメールベースの登録方式を使用していましたが、今回の大会ではリカバリーコード(recovery code)のみで参加者がアカウントを管理できるよう、オープンソースCTFプラットフォームCTFdをカスタマイズしました。数百人が同時にアクセスした大会開始時においてもサーバーは安定して稼働し、セキュリティとプライバシー保護の両立を達成できました。
もう一つ印象的だったのはコミ�ュニティの雰囲気です。最近、いくつかの国際大会ではフラグの共有といった不正行為が問題視されていますが、LINE CTF 2025ではそのような事例は全くありませんでした。むしろ参加者のみなさんが静かすぎて、運営チームがDiscordで自らジョークを飛ばした場面もあったほどです。
このように、運営チームの技術的な準備と参加者の成熟した態度が相まって、今回の大会は「完成度の高い問題」と「安定したシステム」、「信頼できるコミュニティ」の3要素がバランスの取れた大会として記憶に残っています。
CTFへの参加を迷っている方へのメッセージ
CTFは単なるゲームではなく、セキュリティエンジニアとして成長できる最も実践的な学習環境です。問題を解く過程で、脆弱性分析やエクスプロイト作成、システム構造の理解など、実務ですぐに活用できる技術を習得できます。最初は問題の難度に圧倒されるかもしれませんが、解き進めるうちに論理的思考力と分析感覚が次第に向上し、最後まで諦めずに一問を解き切った時の達成感は、自分自身の成長へとつながります。
LINEヤフーは今後もセキュリティコミュニティと共に成長し、安全で信頼できるサービスを提供するため、継続的な交流の場を設けていく予定です。LINE CTFは単なる技術大会ではなく、セキュリティを楽しみ、学ぶ文化を共に創り上げるプロジェクトです。セキュリティに関心をお持ちの方は、ぜひ次回のLINE CTFで私たちと一緒にフラグを探してください。その小さな一歩が、より良いセキュリティ文化を築き上げます。
