バグハンターとは、公開されているプログラムのバグや脆弱性を発見して報告することで報奨金を得ている人々の総称です。GoogleやMicrosoft, Facebook, LINE, 任天堂など多くの企業が、「バグバウンティ」と呼ばれる脆弱性もしくはバグを発見したホワイトハッカーに報奨金を支払う制度を設けており、社内のリソースのみでは発見することが難しいセキュリティの脆弱性を発見するための一つの方法となっています。
また、発見する側の個人としても報奨金を得られることに加え、自分の知識やスキルを試し、磨くための手段として、またセキュリティエンジニアとしての実績を積むための手段として、副業や本業としてバグバウンティに取り組む人々が増えています。
先日開催されたTokyo Cyber Security Meet Upでは、バグバウンティの専門家であるJustin Gardner (バグハンター)、Ruby Nealon (コンピュータセキュリティコンサルタント)、そしてRobin Lunde (ペネトレーションテスター、 PwC)の3名をお迎えして、どのようにしてこの特殊な世界に足を踏み入れたのか、また、職業として、あるいは趣味としてバグバウンティの世界に飛び込もうと考えている人のためのヒントを中心にお話しいただきました。
英語で行われたセッションの録画は以下からご覧いただけます。
バグバウンティとは?
Justinの言葉を借りると、バグバウンティとはハッキング会社や個人ハッカーが「仲介役」となってソフトウェアのバグを検出し、組織が直面しているセキュリティの脆弱性に対処するプロセスです。これらのハッカーは、バグによって組織にセキュリティ上の問題や被害が起きる前にこれらの脆弱性を発見することで、正当な報酬を得ることができます。
バグハンターは、どのようにしてバグや脆弱性を発見するのか?
Justinは「とにかく探し続けることが大事」と語ります。認証ルートやシステム、Web、ソフトウェアの未開拓の領域 ― Justinいわく「暗くて埃っぽい」場所― は、うまく隠れているバグを見つけるための最適なスタート地点です。
あるケースでは、一つのバイパスを見つけるのに約4時間かかったと話します。バグそのものやバグを見つけるための手掛かりとなる何かを発見するまでの期間はバグの種類によって大きく異なり、一つバグを発見した後に芋づる式に複数の脆弱性を発見できるケースもあると言います。
バグバウンティやバグハンターとしての活動に興味がある場合、何から始めればよいのか?
実際、バグバウンティで使用されているほとんどのツールがオープンソースであるため、皆様が考えているよりも簡単に参加することができます。もし趣味としてバグハンターの活動を行っているのであれば、その情熱をキャリアとして追及していく価値があるかもしれません。以下では3つのヒントをご紹介いたします。
1. 時間と労力をかける
当たり前に聞こえるかもしれませんが、バグバウンティで報酬を得ることをお考えの場合、現在どのような種類のバグが存在するのか、それらはどの程度見つけやすい、もしくは見つけにくいのかについて事前にある程度の知識を身につけておく必要があります。どのようなタイプのバグをご自身の専門として焦点を当てていくのかを明確にし、そのタイプのバグについて可能な限り多くの情報に触れておきましょう。初めから大きな目標に挑戦する前に、小さなバグを見つけることから始めると、エンドツーエンドのプロセスを理解するのに役立つかもしれません。
2. 常に知識をアップデートする
良いバグハンターになるには、自分が使っているアプリケーションやソフトウェア、スクリプト、スタックに精通していることが必須です。知識と好奇心は無料ですから、戸惑うことなく知識を増やし、手を動かし、バグバウンティの世界へ踏み込んでいってください。私たちに出きるアドバイスとしては、おそらくどんな職業や趣味にも言えることですが、常に学び続けることです。バグバウンティの世界で活躍するための秘訣であり、自分自身に常に言い聞かせていることでもあります。
3. 友人や仲間と一緒にハッキングをする
同じ志を持つ仲間と一緒にハッキングの作業を行うことで、モチベーションが維持しやすくなります。また、他社の目線は非常に大切なものであり、長い一日のスクリプト作業の後に、友人が新鮮なアドバイスをくれることもあります。バグハンターのコミュニティに参加するにも一つの方法です。多くがバグハンターがTwitterを利用して情報共有を行っているので、Twitterを活用するのも良いでしょう。
以下に、セッション内で紹介されていたバグバウンティ入門の役立つプラットフォームやウェブサイトをご紹介します。
ハッキング入門ガイド
- Penester Lab
- Hack The Box
- GitHub WebGoat
- OWASP Juice Shop
- PortSwigger
- Hacker101
- Bugcrowd University
- Web Hacking 101
- Web Application Hackers Handbook
- ‘How to get into bug bounty’ by Thomas Glucksmann
- Technical Writeup of CVE-2020-13379
バグハンターのためのツールリスト
さらなる一歩を踏み出すために
これからバグバウンティで”賞金稼ぎ”をする方に向けて、バグを発見する方法や、試してみたいリソースなど、最後にアドバイスをいただきました。
Ruby:「BugSuiteは、私が最も長く愛用しているツールです。httpリクエストに関連するものはすべて、これがワンストップのプラットフォームになります。自動化については、個人的には自分で書いたツールを使っていますが、リストを生成するためにBigQueryを使ってみるのも面白いと思います。注意していただきたいのは、プログラミングの方法を知らなくても、プログラミングはできるということです。自分の学習ペースに合わせて様々なツールを試してみるのも効果的です。」
Robin:「Googleで簡単に検索するだけでも、無料ですぐに使い始められるツールが見つかるはずです。入力するリストとウェブプロキシがあれば、どれを選んでも構いません。Amass、Burp、Zapは、初心者が学ぶのに適したツールです。」
Jusitn:「どのようなバグを狙うかにもよりますが、上記のツールのうち3つ以上は必要ありません。大きな成功を収めているバグハンターの多くは独自のツールを持っていますが、それが必須条件ではありませんので、これから始める場合には気にすることはありません。最高のアルゴリズムを持つことが目的ではないので、それらなしでも成功することは可能です。とはいえ、ご自身の存在を目立たせるために自分でオリジナルツールを作るのは非常に有効なので、個人的にはお勧めします。Git hubはスクリプトを書くのにも適しています。」
始め方に正解はない
結局のところ、ご自身の自分の新たな可能性を探る旅を始めるのに正しい方法や間違った方法はありません。すべては個人の好みとキャリアの目標によります。Computer Futuresは日本のサイバーセキュリティ領域において多くのプロフェッショナルや業界を牽引する企業との関係を活かし、コミュニティを通じて多くのアドバイスやガイダンスなど、有益な情報を発信しております。
サイバーセキュリティ領域においては、セキュリティソフト開発を行う企業から大手コンサルティングファーム、大企業の情報セキュリティ部におけるポジションなど、様々な規模の企業様とのお取引があり、皆様のご要望やご経歴に最適なキャリアチャンスをご紹介いたします。業界内の給与水準や採用動向、面接対策など、ご相談やご質問等ございましたら、以下のお問い合わせフォームからお気軽にお問い合わせください。
最新の求人は以下からご覧いただけます。今後開催されるイベントやウェビナーの情報をいち早く受信されたい方は、こちらからぜひご登録ください。
