NFLabs. エンジニアブログ

セキュリティやソフトウェア開発に関する情報を発信する技術者向けのブログです。

当社協賛の2023年度『UEC Bug Bounty』 でNFLabs.賞を提供しました!!

セキュリティ バグバウンティ 産学連携

はじめに

みなさまこんにちは。NFLabs. の @strinsert1Na と黒川です。この度、株式会社エヌ・エフ・ラボラトリーズは 2023年度 UEC Bug Bounty に協賛し、電通大(UEC) のOBである筆者らとCTOの3名が表彰式に参加してきました。

本投稿では、イベントの感想や表彰式の様子を紹介したいと思います。

UEC Bug Bounty とは

UECバグバウンティは、電気通信大学(The University of Electro-Communications)の学内情報システムを対象とした学生によるホワイトハッキングチャレンジ大会です。2019年から始まり、今年で第5回目の開催となるそうです。電通大の学生らが自らの大学のシステムを検査し、脆弱性(バグ)を見つけ、問題点と改善案をレポーティングすることで報奨金(バウンティ)を得る、という現実のバグバウンティの流れを学べる非常に挑戦的なイベントとなっています。

bb.csirt.uec.ac.jp

イベントのスケジュールは下表のとおりです。実際にバグバウンティに挑戦できる期間は約1ヶ月と短めではありますが、事前に大学側からバグバウンティで使えるツールの紹介やオフェンシブセキュリティに関する知識および倫理に関する講習が行われるようで、初心者へのサポートも非常に手厚くなっています。

スケジュール
2024/1/29 ~ 2/22 バグバウンティの研修と実施のための認定試験
2024/2/1 ~ 2/29 学生による検査期間
2024/3/15 表彰式

その一方で現実に稼働している学内システムを対象としている都合上、正しい知識と倫理観を持つ学生だけが参加できるような認定制度も導入されており、認定試験に合格しなければ本イベントには参加できない仕組みになっているようです。今回は8チームが認定試験に合格し、バグバウンティに挑戦しました。

学生の成果報告を見て

まず、本イベントに参加した8チームが脆弱性を発見し、レポーティングまでできているという事実に驚きました。セキュリティの概念が浸透してきた昨今、講義で習った程度の脆弱性診断ツールやコマンドでは簡単に脆弱性なんて見つかりませんが、様々な仮説検証をもとに脆弱性を発見し、悪用可能性まで検証しているチームが複数存在しているのは非常にレベルが高いです。純粋に一人のエンジニアとしてもたいへん勉強になりました。

特に、今イベントの最優秀およびNFLabs.賞*1を受賞したチーム『Paper_Tester👻』は、映画やドラマで多くの人が思い描く『The ハッカー』のような侵入経路を発見するとともにレポーティングの観点も素晴らしく、一企業による脆弱性診断レポートと差し支えないレベルだったと評価しています。

NFLabs. 賞授与の様子 (Team: Paper_Tester👻)

その他にも設定不備を足場として root shell まで取得した優秀賞チームの報告などもありましたが、懇親会でお話ししたところ優秀賞を獲得した2チームは全員が学部生で構成されていると知り学生のレベルの高さには改めて驚きました。*2 懇親会を通して学生たちの学びを聞くことができたとともに、筆者ら自身も大きな刺激を得ることができたたいへん貴重な機会になったと思います。

本イベントを通した全体的な感想

本イベントを通してセキュリティに精通した優秀な学生たちと出会うことができましたが、それと同時に主催である電気通信大学さんがセキュリティ人材育成に対して非常に真摯に取り組んでいることも感じ取れました。イベント内で『セキュリティに大きく投資することは難しい』とは話しながらも『従来の境界防御から脱却してセキュリティを向上しなければならない』という課題認識を述べられており、その一環としてバグバウンティを全学システムに対して行うというのは真に重要性を理解していないとできることではありません。*3そして、学生に対する支援も非常に手厚く、筆者らが聞いた中でも

  • 翌日に授業で使われるサーバーをDoSで落としてしまった学生がいたけど頭ごなしに怒らず復旧!
    • 「学生だったら失敗してもなんぼ」を体現する対応
  • 本イベントで発見したメジャーなメールセキュリティ製品の脆弱性をIPAに報告、学生がJVNを取得するまでサポート
  • 本イベントに参加した学生は受賞までいかなくともレポーティングできただけでもバウンティ
    • なので、どんどん参加しよう!!

などなど驚く話がたくさんあり、学生が積極的にセキュリティイベントへ参加してくれるような土壌が醸成されていると感じました。正直ここまでお膳立てされているバグバウンティイベントは聞いたことがなく、これからも電気通信大学の学生たちがどんどん成長すると同時に、バグバウンティ導入による費用対効果の高いセキュリティ戦略モデルの一つの成功例になってほしいと切に願います。

おわりに

UEC Bug Bounty の様子を、一協賛企業目線で紹介しました。将来有望な学生たちに少しでも還元できたものがあれば、電通大を卒業した1人のOBとしてはたいへん喜ばしい限りです。

NFLabs. はこれからも日本のセキュリティ人材育成に貢献していく所存です。一緒に働く仲間を随時募集中ですので、本投稿に共感していただける方のご応募をぜひお待ちしています。それでは👋

nflabs.jp

*1:協賛企業が最も優れていた報告に贈る特別賞です

*2:root まで取得したチームはもちろん Boot2Root 系のチャレンジを経験しているものと思っていましたがそうではなかったようで、「HackTheBox とかやってなくても『root を奪う』っていう一つの到達点を知っているんだ......」と感嘆しました

*3:イベント自体は2019年から始まり当初はバグバウンティの対象となっているシステムも限られていたようですが、大学側で協力を呼びかけ続け第5回となった現在では全学のシステムがバグバウンティの対象となっているようです。