大会ルールおよび規約 [日本語 / JAPANESE]
概要・ルール
- 開催時間は 2026/01/17 (土) 12:10 (JST) - 01/18 (日) 0:10 (JST)(12 時間)です。
- 日本時間では、深夜ではなく昼のスタートです。ご注意ください。
- 1 チームあたり 6 名まで 参加可能です。
- オンライン上で開催されます。
- ルールに同意し、ブリーフィング(チュートリアル)を終えるとすべての問題が表示されます。
- 解答順序は自由です。ただし、問題によっては別の問題で得た情報を使用するものもあります。
- 各問題の点数は、参加者全体の正答数によって変動するものがあります。
- 原則として、すべて無償のツールや Web サイトから得られる情報で解答可能 です。ただし、有償のツールの使用を禁止するものではありません。
- CTF 競技中のすべての連絡は Discord で実施されます。 必ず Discord サーバに参加してください。 チームと連絡が取れない場合、スコアが無効になることがあります。
- ルールや禁止事項への違反行為が確認された場合、該当するプレイヤーやチームは失格(BAN)や減点などの処分を受けます。
- CTF サーバ (CTFd) へのユーザ登録を以て、すべてのルールおよび規約に同意したものと見なします。
禁止事項
❌ 他プレイヤーや運営者に対する攻撃や妨害
他プレイヤーや運営者に対するハラスメント、攻撃、妨害、脅迫、晒し(doxing)など、いかなる嫌がらせも行ってはなりません。
また、他プレイヤーや運営者のアカウントなどから Flag が得られる問題はありません。そのため、問題の解答において、他の参加者や運営者を調査する必要はありません。
❌ 問題サーバやアカウントに対する攻撃・ハッキング
本競技の Flag はすべて公開されている情報から得ることができます。不正アクセスが必要な問題はありません。
問題サーバおよび各種アカウントに対する攻撃は禁止します。また、パスワードリセットの試み、アカウント停止を試みることなども禁止行為に該当します。
攻撃・ハッキングによって得られた Flag は無効と判定される可能性があります。
自分の解法が「攻撃」「ハッキング」に該当するか不安な場合、実施前に Discord 上で運営者に問い合わせてください。
❌ 問題サーバ(解答フォーム)に対する機械的なアクセス
CTF の問題サーバ(解答フォーム)に対するアクセスは、Web ブラウザから手動で行ってください。
機械的手法(スクレイピング+スクリプトによる総当たり、AI エージェントによる自動化など)によるアクセスはすべて禁止されています。
これらの行為が確認された場合、BAN を実施する可能性があります。
❌ 個人アカウントのパスワード公開
CTF の問題サーバ上で使用するあらゆる個人アカウントのパスワードを公開することは禁止します。
チームのパスワードについてはオンライン(Discord など)でメンバーを募る時に公開しても問題ありません。ただし、チーム内で 1 人でもルール違反を行った場合、チーム全体が BAN されるリスクがあることに注意してください。一度招待したユーザはチームから削除できません。可能な限り、信頼できるメンバーを個別に招待することを推奨します。
❌ 参加人数制限の違反 / メンバー人数とアカウント数の不一致
1 チームあたりの制限人数(6 名)を超える人数の参加は禁止されています。例えば「6 名を登録し、実際には 7 名で問題を解く」といった行為はこの規定に該当します。
また、必ず 1 人あたり 1 つのアカウントを作成してください。たとえば、「5 人でチームを組んでいるのに、2 人分のアカウントしかない」といった行為は違反とみなします。
メンバーが対面で集まって参加する場合も同様です。
❌ 複数アカウントの作成
作成できるのは 1 人あたり 1 アカウント(個人アカウント)です。たとえば、1 人が 2 つ以上の個人アカウントを持って参加することは禁止されています。
❌ 問題に登場する個人や組織などへの接触
OSINT CTFは競技であり、謎解きイベントやARG(代替現実ゲーム)とは性質が異なります。
実在・架空を問わず 、競技中に登場するいかなる個人や団体に対しても、SNS・メール・電話・訪問などの手段で接触してはなりません。
なお、SNS アカウントに対するフォローや「いいね」、「リポスト」などはすべて接触とみなされます。また、コメントやリプライの投稿も「接触」とみなされます。
解法が「接触」に該当するか不安な場合、実施する前に Discord 上で運営に問い合わせてください。
❌ 偽アカウントや偽コンテンツの作成などによる競技妨害
SWIMMER OSINT CTF で出題されている問題に関連していることを装ったアカウントや Web サイト、コンテンツ、問題などを競技時間中に作成・公開し、他のプレイヤーを惑わす行為は禁止されています。万が一、不審なアカウントやページを見つけた場合、Discord の #ask-for-admin チャンネルから運営者に報告してください。
❌ 競技時間中に、問題・解法・ヒントなどを外部へ共有すること
競技中にあなたが得た問題・解答(Flag)・解法・ヒントなど、CTF に関するあらゆる情報を第三者(自分のチームメンバー除く)に共有する行為は禁止されています。他の参加者からこれらを得ようとする行為も禁止されています。
また、公開・非公開を問わず、問題・解答(Flag)・解法・ヒントなどを外部(Web サイトや SNS、Discord、チャット、掲示板、動画配信など)に流出させてはいけません。例えば、競技に参加していない知人などに問題やその一部を提示し、解答に際して補助を求める行為などはこの規定に該当し、違反となります。
ただし、 競技終了後には writeup として問題、解答、添付ファイルを 原則として 公開可能です(一部の例外があります)。writeup はブログ記事、SNS 投稿、動画など、どのような形式で公開しても構いませんが、各問題で示されている注意事項に必ず従ってください。
❌ その他の妨害行為
その他、運営を妨げると考えられる行為も禁止します。妨害行為・不正行為によって得られた Flag は無効化される可能性があり、そのような行為に関与したアカウントは BAN される可能性があります。
留意事項
📝 Discord サーバへの参加
競技中、すべての連絡は Discord で実施されます。SWIMMER OSINT CTF の Discord サーバに参加して、approved ロールを取得しておいてください。
チームの全員が Discord に参加する必要はありませんが、少なくとも代表者 1 人は連絡が取れる状態にしておく必要があります。ただし、Discord 上で誰でも応答できなくなると「チームと連絡が取れない」とみなされるため、可能な限りチームの全員が Discord に参加することを推奨します。
競技時間終了後はサーバから退出してもかまいません。
📝 合法的な情報収集手段について
本 CTF におけるすべての問題は、日本国の法令において合法的な手段 で解答可能です。不正アクセスや攻撃を行う必要はありません。
また、もし解答の過程で自動化された情報収集を行う場合は、DoS 攻撃にならないレートリミットを設定してください。あらゆる Web サイトに対するアクセスは解答者に法的責任があります。
なお、合法性の判断は日本国の法令に準拠しています。ご自身が居住されている国や渡航予定の国において、地理空間情報や軍事情報の取得や公表に何らかの法的制限がある場合は、CTF への参加や問題への解答、プライバシーの確保を ご自身の判断で 行ってください。
📝AI の使用について
あなたや AI が禁止事項に違反しない限り、ChatGPT や Gemini、Claude などの AI サービスを 調査 に利用してもかまいません(CTF 問題サーバに対するいかなる機械的なアクセスも禁止されている点には留意してください)。ただし、AI エージェントを自律的に動作させた場合に何らかの違反行為が発生した場合、あなたの責任となります。
また、Flag に対する問い合わせや異議申し立てを行う際、AI の出力結果 のみ を根拠とするものは却下されます。例えば、「この Web ページに記載されている情報も Flag として認められるのでは?」といった問い合わせは有効ですが、「ChatGPT の出力結果によれば、これも Flag になるのでは?」といった問い合わせは却下されます。必ず、元ソースを示してください。
📝 ヒントについて
本 CTF では、特定のチームやプレイヤーに対してヒントを提供しません。ヒントを要求するだけの問い合わせは原則として無視されます。もし、運営者がヒントを提供する場合、CTF プラットフォームや Discord 上で全員に対して提供されます。
📝 センシティブな情報について
本競技では実世界の事象を取り扱います。問題によっては、災害や戦争、事故など、センシティブあるいはショッキングな情報に触れる可能性があります。解答に際してそのような情報に接触する必要がある問題は、その旨が明示されています。
そのような情報によって不快感を覚えたり、心身に不調をきたす可能性がある場合、参加を取りやめるか、注意事項が示されている問題の解答を控えてください。
bellingcat の Giancarlo 氏が公開している、OSINT リサーチャーと精神衛生に関する記事も参考にしてください。
📝 画像などの出典について
一部の画像などは競技上の理由により、競技時間中は出典が伏せられるものがあります。競技終了後に出典を公開しますので、writeup で引用する場合は明記するようにしてください。
📝 模擬的な偽情報(フェイク)について
本競技では、模擬的な偽情報(フェイク画像、フェイクニュース)を含む可能性があります。終了後に writeup でこのような問題を扱う場合、混乱を防ぐために偽情報であることを明示してください。
また、一部の画像や Web サイトについては writeup への掲載を禁止する場合があります。この場合は問題文の指示に従ってください。
📝 法的責任について
競技参加・解答に伴うすべての行動に対して、参加者は法的責任を負います。
未成年者は保護者の同意を得た上で参加してください。
📝 セキュリティについて
本競技において、運営者が参加者に対して攻撃を行うことや、意図的に不正なプログラムを実行させることはありません。
しかし、さまざまな Web サイトを検索・調査する以上、一般的なセキュリティ対策は十分に行ってください。
📝 機密保持について
競技時間中に、調査している内容が外部に流出することは避けてください。たとえば、チーム内でドキュメントを作成し、調査内容を共有することは構いません。しかし、その内容が外部公開にならないように、共有範囲などには十分気をつけてください。
また、与えられた URL やファイルをスキャンする場合、可能な限り passive な手法を使用してください。例えば、URL やファイルを調査するサイトを利用する場合、結果がパブリックにならない(たとえば検索エンジンに index されない)設定を使用してください。
📝 プライバシーについて
競技の参加および外部サイトのアクセスに際して、プライバシーの確保が必要な場合、VPN を利用するなど、各自の責任で対策を講じてください。
📝 競技中止および競技時間の変更について
競技時間中にシステムトラブルや大規模災害などの緊急事態が発生し、運営続行が困難になった場合など、運営者の裁量で競技を中止したり、競技時間を変更したりする可能性があります。
📝 運営者への問い合わせ
Discord の #ask-for-admin チャンネルから問い合わせを行ってください。CTF 競技中、チケットシステムの不具合を除いて Discord DM や X での対応は致しません。また、運営メンバー個人の DM での対応はいたしません。
Competition Rules and Regulations [英語 / ENGLISH]
Overview / Rules
- The competition will take place from 2026/01/17 (Sat) 12:10 (JST) to 2026/01/18 (Sun) 0:10 (JST) (12 hours).
- Please note that, in Japan time (JST), the competition starts in the daytime, not late at night.
- Up to 6 participants per team are allowed.
- The competition will be held online.
- Once you agree to the rules and complete the briefing (tutorial), all challenges will become visible.
- You can solve challenges in any order. However, some challenges may require information obtained from other challenges.
- The score for each challenge may be dynamic depending on the total number of solves by all participants.
- In principle, all challenges can be solved using information obtained from free tools and websites. This does not prohibit the use of paid tools.
- During the competition, all announcements and support will be handled on Discord. Be sure to join the Discord server. If the admins cannot reach your team, your score may be invalidated.
- If a violation of the rules or prohibitions is confirmed, the player(s) or team involved may be penalized, including disqualification (ban) and/or point deductions.
- By registering an account on the CTF server (CTFd), you are deemed to have agreed to all rules and regulations.
Prohibitions
❌ Attacks or interference with other players or admins
You must not harass, attack, obstruct, threaten, or doxx other players or admins in any way.
Also, there are no challenges where you can obtain a flag from other players' or admins' accounts. Therefore, you do not need to investigate other participants or admins in order to solve challenges.
❌ Attacks or hacking against the CTF server or accounts
All flags in this competition can be obtained from publicly available information. There are no challenges that require unauthorized access.
Attacks against the CTF server and any related accounts are prohibited. Attempts to reset passwords or to suspend accounts are also prohibited.
Flags obtained through attacks or hacking may be judged invalid.
If you are unsure whether your approach constitutes an "attack" or "hacking", contact the admins on Discord before taking any action.
❌ Automated access to the CTF server (answer form)
Access to the CTF server (answer form) must be performed manually through a web browser.
All automated access (e.g., scraping + scripted brute-force, automation by AI agents, etc.) is prohibited.
If such activity is confirmed, you may be banned.
❌ Disclosing passwords for personal accounts
Do not disclose passwords for any personal accounts used on the CTF server.
You may disclose the team password when recruiting members online (e.g., Discord). However, note that if even one team member violates the rules, there is a risk that the entire team will be banned. Once a user is invited, they cannot be removed from the team. Whenever possible, we recommend inviting trusted members individually.
❌ Violating the participant limit / Mismatch between team members and accounts
It is forbidden to participate with more than the limit (6 people) per team. For example, registering 6 people but actually solving challenges with 7 people falls under this rule.
Also, be sure to create one account per person. For example, forming a team of five members but having only two accounts is considered a violation.
The same applies even if your team gathers in person.
❌ Creating multiple accounts
Each person may create only one (personal) account. It is forbidden for one person to participate with two or more personal accounts.
❌ Contacting individuals or organizations appearing in challenges
OSINT CTF is a competition and is different in nature from puzzle events or ARGs (Alternate Reality Games).
Whether real or fictional, you must not contact any individuals or organizations that appear during the competition via social media, email, phone calls, visits, or any other means.
Following a social media account, liking posts, reposting, posting comments, and replying are all considered "contact".
If you are unsure whether your approach constitutes "contact", ask the admins on Discord before taking any action.
❌ Interfering with the competition by creating fake accounts or content
It is forbidden to create or publish accounts, websites, content, challenges, etc. during the competition that pretend to be related to SWIMMER OSINT CTF challenges and may mislead other players.
If you find a suspicious account or page, report it to the admins via Discord (#ask-for-admin).
❌ Sharing challenges/solutions/hints outside your team during the competition
It is forbidden to share any CTF-related information obtained during the competition with third parties (excluding your own team members), including challenge text, answers (flags), solutions, and hints. Attempts to obtain such information from other participants are also prohibited.
Regardless of whether it is public or private, you must not leak challenges, answers (flags), solutions, hints, etc. to external places (websites, social media, Discord, chats, forums, video streams, etc.). For example, showing a challenge (or part of it) to someone who is not participating and asking for help in solving it falls under this rule.
However, after the competition ends, you may in principle publish writeups including challenges, answers, and attached files (with some exceptions). Writeups may be published in any format (blog posts, social media posts, videos, etc.), but be sure to follow the notes provided in each challenge.
❌ Other interfering behavior
Other actions that are considered to interfere with the operation of the competition are also prohibited. Flags obtained through interference or misconduct may be invalidated, and accounts involved may be banned.
Notes
📝 Joining the Discord server
All communication during the competition will take place on Discord. Join the SWIMMER OSINT CTF Discord server and obtain the approved role.
Not every team member must join Discord, but at least one representative must be reachable. However, if no one in your team responds on Discord, it may be considered that "the admins cannot contact your team". Therefore, we recommend that as many team members as possible join Discord.
You may leave the server after the competition ends.
📝 Legal methods of information gathering
All challenges in this CTF can be solved using methods that are legal under the laws of Japan. They do not require unauthorized access or attacks.
If you perform automated information gathering as part of your solving process, set a rate limit that does not constitute a DoS attack. You are legally responsible for any access you make to external websites.
Legality is determined under the laws of Japan. If there are legal restrictions related to acquiring or publishing geospatial or military information in the country you live in or plan to travel to, decide at your own discretion whether to participate, solve challenges, and how to protect your privacy.
📝 Use of AI services
You may use AI services such as ChatGPT, Gemini, and Claude for research, as long as you (and the AI) do not violate the prohibitions (note that any automated access to the CTF server is prohibited).
If you operate an AI agent autonomously and it results in any prohibited activity, you are responsible.
When submitting questions or objections regarding flags, requests based only on AI outputs will be rejected. For example, a request like "Could the information on this web page also qualify as a flag?" is valid, but a request like "ChatGPT says so, so could it be a flag?" will be rejected. Always provide the original source.
📝 Hints
We do not provide hints to specific teams or players. Inquiries that only request hints will generally be ignored. If admins do provide hints, they will be shared with everyone via the CTF platform and/or Discord.
📝 Sensitive information
This competition deals with real-world events. Some challenges may involve sensitive or shocking topics such as disasters, wars, or accidents. Challenges that require you to access such information are clearly marked.
If this kind of information may cause you discomfort or affect your mental/physical health, withdraw from participation or refrain from solving those challenges.
For more information, see the following article by Giancarlo at bellingcat on OSINT research and mental hygiene:
📝 Sources for images, etc.
For competition reasons, the sources of some images and other materials may be withheld during the competition. We will disclose sources after the competition ends; if you quote them in writeups, clearly state the source.
📝 Mock disinformation (fake content)
This competition may include mock disinformation (fake images, fake news). If you cover such challenges in a writeup after the competition ends, clearly state that it is disinformation to avoid confusion.
In addition, for some images or websites, we may prohibit including them in writeups. In such cases, follow the instructions in the relevant challenge.
📝 Legal responsibility
Participants are legally responsible for all actions associated with participating and solving challenges. Minors must participate with the consent of their parents or guardians.
📝 Security
We will not attack participants or intentionally cause them to execute malicious programs. However, since you will be searching and investigating various websites, take appropriate general security measures.
📝 Confidentiality
During the competition, avoid leaking what you are investigating to people outside your team. For example, it is fine to create documents within your team to share investigation results, but take care to ensure the sharing scope does not become public.
Also, when scanning provided URLs or files, use passive methods whenever possible. For example, when using a website to investigate a URL or file, use settings that keep results non-public (e.g., not indexed by search engines).
📝 Privacy
If you need to protect your privacy when participating in the competition or accessing external websites, take appropriate measures at your own responsibility, such as using a VPN.
📝 Cancellation or changes to the schedule
If emergencies occur during the competition (e.g., system trouble or major disasters) and continuing operation becomes difficult, the admins may cancel the competition or change the competition time at their discretion.
📝 Contacting the admins
Contact the admins via the #ask-for-admin channel on Discord. During the competition, we will not respond via Discord DMs or X except for ticket system issues. We also do not respond via admins' personal DMs.