最優秀賞
チームメンバー 澤井 祐人(立命館大学 情報理工学部 サイバーセキュリティ研究室)
石橋 由羽(立命館大学 情報理工学部 サイバーセキュリティ研究室)
金田 俊平(立命館大学 情報理工学部 サイバーセキュリティ研究室)
森 悠仁(立命館大学 情報理工学部 サイバーセキュリティ研究室)
優秀賞
チームメンバー 坂本 翔太(千葉大学 園芸学部)
伊東 祐直(千葉大学 工学部)
坂巻 大海(千葉大学 工学部)
古家 侑 (千葉大学 工学部)
チームメンバー 深見 一輝(千葉工業大学 情報変革科学部)
手塚 悠貴(千葉工業大学 情報変革科学部)
長谷川 侑哉(千葉工業大学 情報変革科学部)
池添 志織(千葉工業大学 情報変革科学部)
奨励賞
チームメンバー 伊藤 貴之(日本大学 危機管理学部)
チームメンバー 菅谷 哲司(千葉大学 工学部)
谷水 光一郎(千葉大学 工学部)
田中 駿乃介(千葉大学 融合理工学府)
若菜 光希(千葉大学 工学部)
| 委員名 | 所属 |
越智 郁 |
freee株式会社 |
岡島 麗奈 |
株式会社サイバーエージェント |
大塚 由梨子 |
サイボウズ株式会社 |
北原 憲 |
株式会社ラック |
佐藤 元彦 |
伊藤忠商事株式会社 |
下村 正洋 |
特定非営利活動法人 |
東内 裕二 |
三井物産セキュアディレクション株式会社 |
福本 郁哉 |
一般社団法人 |
長谷川 陽介 |
株式会社セキュアスカイ・テクノロジー |
松浦 知史 |
国立大学法人東京科学大学 |
(氏名非公表) |
千葉県警察本部 |
セキュリティバグハンティングコンテストとは
千葉大学では、第10回目となる学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2025年8月1日から開催いたします。
当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。
本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度(Bug Bounty Program)」をモデルとしています。
- セキュリティバグ報奨金制度(Bug Bounty Program)とは
- ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。
過去9回のコンテストの様子は、過去のコンテストからご覧いただけます。
開催目的
昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材(学生)の輩出を目的としています。
参加条件
本学の学生で、8月1日に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また第2タームに基本的な知識の取得ができる初心者向け講習を開催しますので、経験のない初心者でも参加可能です。
4名までのチームで参加していただきます(1名のチームでも構いません)。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。
他大学の方につきましては、Q & A の こちら の項目をご参照ください。
実施スケジュール
| 日程 | 時間 | 内容 |
6月12日(木) |
16:10~17:40(5時限) |
「情報セキュリティ分析(入門)」(初心者向け講習) |
6月30日(月) |
9:00~ |
参加受付開始 |
7月30日(水) |
~12:00 |
参加受付終了 |
8月1日(金) |
【対面授業】 |
「情報セキュリティ分析(実践)」 |
8月4日(月)~ |
【オンデマンド】 |
|
講習受講終了・ハンターライセンス取得後 |
~23:59 |
セキュリティバグ探索、レポート作成・受付期間 |
10月1日(水) |
|
レポート審査期間 |
11月18日(火) |
|
表彰式 |
講習会
情報セキュリティへの入門編として、第2タームに「情報セキュリティ分析(入門)」を開催します。情報セキュリティって何だか難しそう、とっつきにくそうと思われる方も、まずは入門編の講習を受けてみませんか?
①初心者向け講習会
|
|
| 日時・場所 | 6月12日(木) 16:10~17:40(5時限) |
| 概要 | 第2タームの授業(対面・メディア授業)として実施します。 |
| 講師 | 今泉 貴史 情報戦略機構教授 |
その他詳細
注)以下、②.③の両方を9月23日までに受講しないとハンターライセンスは交付されません。 受講方法の詳細は、千葉大学moodleのコンテスト用コースにてご案内します。
② 法律・倫理講習
|
|
| 日時・場所 | <対面授業> |
| 概要 | 8月1日に第3タームの授業として実施します。 |
| 講師 | 荒木 泰貴 大学院社会科学研究院准教授 |
③ 技術講習
|
|
| 日時・場所 | <対面授業> |
| 概要 | 8月1日に第3タームの授業として実施します。 |
| 講師 | 越智 郁氏
|
コンテスト参加に必要なツール
パソコンはご自身のものを使ってください。(大学では用意できませんので、ご了承ください。)
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。
検査対象のウェブサイト
今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイトを検査対象とする予定です。詳しくは後日発表します。
レポートの提出について
コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは、セキュリティ関係の業務に携わる学外の有識者による審査を行います。
セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。
また、昨年度の審査基準は以下のとおりです。(今年度は変更になる場合があります)
- (a) 網羅的に調査している
- (b) ツールによる検査結果だけでなく、手動で検証している
- (c) 目の付け所が良い
- (d) 重大な脆弱性を見つけた
- (e) 脆弱性が無かった箇所について、適切に指摘している
- (f) 脆弱性が与える影響まで考察している
- (g) レポートが分かりやすく書かれている
表彰等
成績優秀者には、情報担当理事より表彰状と副賞が授与されます。
表彰式
今年度の表彰式は以下の通り実施します。
日時:2025年11月18日(火)16:10~18:10
場所:工学系総合研究棟2 2Fコンファレンスルーム
詳細は こちら の資料をご覧ください
Q & A
- 何をやるんでしょうか?
- 指定されたWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。
- 参加者のレベルはどのくらいですか?
- 参加者のレベルは初心者の方からCTF※に参加するような上級者まで様々です。セキュリティに興味のある学生であれば、どなたでも参加いただけます!
※CTF(Capture The Flag,旗取りゲーム)とは,何らかの方法で隠された文字列(Flag)を,情報セキュリティに関する知識を使って見つけ出し,時間内に獲得した合計点数を競うハッキングコンテストを指します。
第2タームの授業で初心者向け講習会を実施しますので、是非ご参加下さい。
この講習会の受講は任意です。
また、履修登録していなくても受講できます。 - チームでの参加の場合、講習会への参加は代表者だけでよいですか?
- 代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。ライセンスを取得していないメンバーは不参加として扱われます。
- どうやってバグを探せばよいのですか?
- 第3タームに開催する技術講習会にてご説明します。
- パソコンやツールは大学側から提供されるのでしょうか?
- パソコンやツールについては、ご自身のチームの中で必要な台数をご用意ください。ツールについては、「情報セキュリティ分析(実践)」の講義で紹介します。
- 学外から探索できますか?
- 学外のネットワークから探索することも可能です。
- Windows/Linuxについてよくわかりませんが、参加できますか?
- Windows/Linuxがよく分からなくても参加できますが、情報セキュリティ(入門編)からご参加いただくことが望ましいです。
- プログラミングがわかりませんが、参加できますか?
- プログラミングが分からなくても参加できますが、情報セキュリティ(入門編)からご参加いただくことが望ましいです。
- 院生ですが、参加できますか?/留学生ですが、参加できますか?
- 院生の方も留学生の方も参加できます。
- 他大学の学生なのですが、参加できますか?
- 他大学の学生さんでも、「情報セキュリティ分析(実践)」(対面/オンデマンド)を受講してハンターライセンスを取得していただければ、参加することができます。Moodleのゲストアカウントを発行しますので、他大学の学生さんも 対面/オンデマンド どちらの形態であっても「情報セキュリティ分析(実践)」の授業を受けることができます。
なお、参加申込につきましては、こちら をご参照ください。 - 教員ですが、参加できますか?
- 教職員の方の参加はご遠慮ください。
- 課題の提出が間に合わなかった場合にペナルティなどはありますか?
- 特にペナルティはありませんが、審査の対象とはなりません。
- 講習会への参加ができなかった場合、コンテストへの参加は可能ですか?
- 「法律・倫理講習」「技術講習」の2つに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
- コンテストの内容をブログ等に書いても構いませんか?
- コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
- 参加するとどんな良いことがありますか?
- 期限内にレポートを提出したすべてのチームに参加賞を進呈します。履歴書に活動実績を書けます。
また、以下のような特典があります。
最優秀賞(1チーム)、優秀賞・奨励賞(若干チーム)には、後藤 弘子理事(情報担当)から表彰状及び副賞を授与します。(これも履歴書に書けます!)
参加申し込み及び問い合わせ先
参加申込受付期間
2025年6月30日(月)9:00 ~ 7月30日(水)12:00
申し込み
千葉大学Moodleにて受け付けます。
コース名:2025-第10回セキュリティバグハンティングコンテスト
コースコード:2025-@FDSD00025
千葉大学Moodleは こちら
★他大学で本コンテストに参加したい方へ
本コンテストでは、千葉大学以外の大学の学生が参加することも可能です!
他大学の学生で本コンテストに参加したい方は、こちら からお申し込みください。
ただし、参加の場合は原則として、以下の1.~3.の条件をすべて満たす場合に限らせていただきますので、あらかじめご了承願います。
- 1.1大学につき、参加できるチームは1チームまでとする。(2チーム以上参加させたい場合は要相談)
- 2.1チームあたりの参加人数は4名までとする。
- 3.千葉大学より、参加する学生の指導教員と連絡をとることが可能である。
問い合わせ先
千葉大学情報危機対策チーム/C-csirt
Mail: c-csirt [アットマーク] chiba-u.jp