はじめに
皆さんこんにちは。NFLabs.の渡邉です。
昨年、一昨年につづき、今年度も株式会社エヌ・エフ・ラボラトリーズは「UEC Bug Bounty」に協賛しました。今回も学生から提出されたレポートの採点を担当するとともに、電気通信大学(UEC)のOBである渡邉とCTOの小室が表彰式に参加してきました。
本投稿では、レポートを採点をしての感想や、表彰式での様子を紹介したいと思います。
UEC Bug Bountyについて
UEC Bug Bountyは、電気通信大学学内の情報システムを対象とした学生によるホワイトハッキングチャレンジ大会です。学生が自らの大学のシステムを検査し、脆弱性(バグ)を見つけ、その問題点と改善提案を大学にぶつけるという挑戦的なイベントとなっています。(※公式サイトの説明より引用)
今年で7回目の開催となり、参加チーム数は昨年に引き続き2桁の12チームとなりました。協賛企業についても、昨年から2社増えて5社と、年々規模が拡大しています。また、セキュリティを専攻していない学生の参加も多く見られ、分野を問わずセキュリティへの関心が高まっていることから、大学全体のセキュリティ意識の高さがうかがえます。
なお、昨年、一昨年の開催時の様子については、以下の記事でも紹介していますので、あわせてご覧ください。
学生のレポートを見て
今年度も多くのチームから素晴らしいレポートが提出されており、学生のレベルの高さに非常に驚かされました。ここでは、特に印象に残ったチームについて、いくつか簡単に紹介します。
- システムに大きな影響を与える可能性のある検査について、学内のCSIRTと連携しながら実施していたチームがありました。検査対象の安全性に十分配慮した、非常に優れた取り組みだったと思います。また、このチームではExploitコードの実行やハッシュクラックなどを通じてrootのシェルを取得しており、技術力の高さも強く感じられました。
- 生成AIを活用して検査用プログラムを作成し、多数のホストに対して効率的に検査を行っていたチームもありました。今後、セキュリティ分野においても生成AIを活用する能力はますます重要になると考えられるため、非常に素晴らしい取り組みだと感じました。
- 脆弱性への対策について、非常に丁寧に説明したレポートを提出しているチームもありました。どのような設定を適用すべきかをコマンドレベルで示しており、レポートを読む担当者がそのまま対策を進めやすい、実用性の高い内容でした。
全体として、どのチームも検査対象の安全性に十分配慮しながら検査を実施し、対策につながる質の高いレポートを提出していたと思います。システムへの影響が懸念される場面では検査を中断したり、CSIRTと連携して進めたりするなど、慎重な判断が随所に見られました。さらに、レポートではCVSSを用いて脆弱性の深刻度を示したり、対策手法を分かりやすく整理したりするなど、「誰が」「何のために」レポートを読むのかを強く意識した構成になっていた点も印象的でした。
NFLabs.賞について
今回の審査にあたり、私たちは以下の3点が大事な要素だと考えました。
- より危険度の高い脆弱性の発見
- より多くの脆弱性の発見
- 脆弱性への対処が容易になるレポーティング
バグバウンティにおいて、1や2はもちろん重要ですし高いサイバーセキュリティのスキルが必要なのですが、その成果を現実世界の価値に繋げるという点で一番大事なのは、3のレポーティングです。
オフェンシブなスキルを学び、ソフトウェア製品あるいはサービスの脆弱性を発見することに、どのような価値があるかと言えば、その脆弱性に対処することが利用者の安心・安全に繋がるからです。
別の言い方をすれば、バグバウンティは脆弱性を発見して終わりではなく、脆弱性レポートを受け取ったシステム管理者等が脆弱性に対処できて初めて、世の中にインパクトを与えることができる営みです。
今年のNFLabs.賞を進呈した「ありさんセキュリティ」チームのレポートには、複数の危険度が高い脆弱性が記載されていることに加え、各脆弱性の再現手順と影響範囲、推奨される対策が丁寧に記載されていました。
これらの情報は、システム管理者にとって対策手順を理解するだけに留まらず、対策優先度の検討にも資するものです。ありさんセキュリティチームのみなさんが、バグハンターとして自分の成果を受け取る人に役立つようにと心掛けていたことは大変素晴らしいと感じました。
表彰式と懇親会について
表彰式とその後に行われた懇親会では、多くの学生と直接交流する機会がありました。何度か参加経験のある学生から今回が初参加という学生、さらにセキュリティを専攻していない学生まで、幅広い層がBug Bountyに参加していることが印象的でした。
また、多くの学生がセキュリティ分野に強い関心を持っており、Bug Bountyに向けて自主的に学習を進めてきた様子がうかがえました。学習方法について質問を受けることもあり、学生一人ひとりが試行錯誤しながら取り組んでいる様子が伝わってきました。
さらに、学習の過程で当社のPurple Flairを活用していたという学生の声もあり、イベントを通じて実際の学習に役立ててもらえていることを知り、当社としてもうれしく感じました。
おわりに
CTOの小室です。私は今回が初めての参加でしたが、表彰式と懇親会を通じて、本イベントに対する先生方の熱い想いをお聞きする機会をいただきました。バグハントとレポーティングについて、多くの学生が実践的に手を動かして学ぶことができることは本当に素晴らしく、長く続いてほしいと心から思いました。
また、懇親会では協賛企業から会社紹介をする機会をいただき、当社からは、UECの卒業生である渡邉が登壇しました。彼がお世話になった大学関係者の方々、在学中の彼を知る現役学生の皆様にとって、NFLabs.をより身近に感じていただけたら何よりうれしく思います。
NFLabs.はこれからも日本のセキュリティ人材育成に貢献していく所存です。一緒に働く仲間を随時募集中ですので、当社に興味を持っていただける方のご応募をぜひお待ちしています。
採用サイトrecruit.nflabs.jp
