5月16日、セキュリティ研究者が「The CTF scene is dead」と題した記事を公開した。
CTF(Capture The Flag)は、サイバーセキュリティ分野で最も重要な人材育成の場として機能してきた競技だ。参加者はWeb脆弱性の発見からバイナリ解析、暗号解読まで幅広い技術課題に挑戦し、「フラグ」と呼ばれる文字列を獲得して得点を競う。過去20年にわたって数多くのセキュリティエンジニアや研究者を輩出してきたこの仕組みが今、その根幹を揺るがす危機に直面している。著者は、規制されていないAIの使用と不正行為の蔓延により、CTF界隈が従来の姿を完全に失ったと厳しく指摘している。
トップチームの大量離脱が示す深刻な現状
最も衝撃的なのは、世界トップレベルのチームが次々とCTFから離れている事実だ。CTFTimeの世界ランキングを見ると、2026年のスコアボードは過去と全く様変わりしている。長年上位を維持してきたTheHackersCrewをはじめとする強豪チームの多くが、競技への参加を停止したり、参加人数を大幅に減らしたり、かつてのような圧倒的な成績を残せなくなっている。
これらのチームのメンバーは決して技術力を失ったわけではない。著者の地元チーム「Emu Exploit」の例を見ても、離れていくメンバーたちはInternational Cybersecurity Championshipでの継続参加、バグバウンティプログラムでのトップレベル成果、Pwn2Ownでの競技参加、Black Hatなどの国際カンファレンスでの発表といった実績を持つ実力者ばかりだ。
問題は、興味を失いつつあるのがカジュアルな観察者ではなく、まさにかつてこの界隈を支え、発展させてきた中核人材だということだ。彼らの離脱は、CTFコミュニティにとって取り返しのつかない損失を意味する。
失われた「技術への純粋な情熱」と学習体験
CTFの真価は単なる競技システムにとどまらない。初心者がSQL Injection や XSSといった基礎的なWeb脆弱性から学び始め、やがて複雑なバイナリ解析やカーネルエクスプロイトまで習得していく段階的な成長の仕組みが整備されていることだった。
また、問題作成者(writer)による創意工夫に富んだチャレンジ設計、参加者同士の技術的な議論と知識共有、そして人間の洞察力と粘り強さによって困難な問題を解決した時の深い達成感といった要素が、この界隈独特の文化を形成してきた。
著者はこれらの本質的な価値が現在のオープンオンラインCTFでは継承されておらず、「このフォーマットは死んだ」と断言している。実際、最高レベルのCTFの代表格として長年開催されてきたPlaid CTFでさえ一部が開催中止になっており、界隈全体の衰退を象徴している。
AIツール普及がもたらした構造的変化
2022年末のChatGPT登場以降、CTF界隈でもAIツールの使用が急速に広まった。しかし多くの大会では明確な使用ルールが設定されておらず、従来の「人間の技術力と創造性」を競う前提が崩れ始めている。
AIによるコード生成やヒント提供が当たり前になった結果、問題解決プロセスの本質—試行錯誤を通じた深い理解の獲得—が軽視される傾向が強まっている。これは単なる技術的な変化ではなく、CTFが培ってきた学習文化そのものの変質を意味する。
商業化の波に警鐘
著者が特に危惧するのは、この衰退状況に付け込むAI関連ビジネスの存在だ。コミュニティが長年蓄積してきた知識とデータを基盤として、薄っぺらなAIラッパー製品を売りつけようとする商売人たちへの強い警戒感を示している。
この指摘は、技術コミュニティ全体が直面する課題でもある。オープンソースや知識共有の精神で発展してきた分野に、短期的な利益を求める商業勢力が参入し、本来の価値を歪めてしまう構図だ。
セキュリティ人材育成への深刻な影響
CTFの機能不全は、サイバーセキュリティ業界の人材パイプラインに直接的な打撃を与える。Google Project Zero、Talos Intelligence、各社のRed Teamといった最前線で活躍するセキュリティ研究者の多くがCTF出身者だ。
特に日本では、SECCONをはじめとするCTF大会が若手エンジニアの登竜門として機能してきた歴史がある。この人材育成システムの衰退は、将来の日本のサイバーセキュリティ体制にも深刻な影響を及ぼす可能性が高い。
著者の問題提起は、技術コミュニティが直面する根本的なジレンマ—純粋な技術追求と商業化圧力、人間のスキル向上とAI依存のバランス—を鋭く突いている。CTFの「死」は単なる一つのコミュニティの問題ではなく、技術文化全体の転換点を示すシグナルなのかもしれない。
詳細はThe CTF scene is deadを参照していただきたい。
