目次
筆者
- X: morioka12 (@scgajge12)
ブログ一覧
本ドメインのブログ記事
本ドメイン以外も含む全ての記事
AWS Community Builder の1年目振り返りと2年目抱負
1. 始めに
こんにちは、morioka12 です。
本稿では、morioka12 の AWS Community Builder 1年目の振り返りと2年目の抱負について少し紹介します。
筆者
- 2025年4月で新卒2年目のセキュリティエンジニア
- オフェンシブ寄りのクラウドセキュリティに興味あり
- AWS Community Builder
- Security Builder since 2024
AWS Community Builder の更新審査が通ったみたいで2年生になりました🙌 #AWSCommunity #AWSCommunityBuilders pic.twitter.com/4wu7EMIn4i
— morioka12 (@scgajge12) 2025年5月15日
AWS Community Builder とは
AWS コミュニティビルダーズプログラムは、知識の共有や技術コミュニティとの連携に熱心な AWS 技術愛好家や新興のソートリーダーに、技術リソース、教育、ネットワーキングの機会を提供するプログラムです。
このプログラムでは、AWS の内容領域専門家が有益なウェビナーを提供し、最新サービスに関する情報を含め、技術コンテンツの作成、リーチの拡大、オンラインおよび対面でのコミュニティにおける AWS 知識の共有に関するベストプラクティスなどを共有します。このプログラムでは、年間限定数のメンバーを受け入れます。
ちなみに、AWS CB の認定者は年に1回の更新申請が必要で、継続的にアウトプットや活動をしているかの審査があります。
ブログ「AWS Community Builderに選出された話」
AWS CB の詳細についてや選出される前の活動については、以下のブログをご覧ください。
2. 1年目の振り返り (2024年)
1年目はちょうど学校卒業&新卒1年目ということもあり、バタバタしながらも少しアウトプット活動をしていました。
また、1年目に貰えたキットはこんな感じでした。
遥々アメリカから AWS Community Builders Year 1 Welcome Kit が届いた
— morioka12 (@scgajge12) 2024年5月7日
Thank you #AWSCommunityBuilders pic.twitter.com/oQidZ8CGw1
ブログ
技術ブログに関しては、2件執筆しました。
「CTF Cloud 問題の攻撃手法まとめ(2023年版)」
本稿では、セキュリティ問題を解く CTF について、2023年に開催された CTF のイベントで、Cloud に関する問題をピックアップして、攻撃手法の特徴について紹介しています。
「オフェンシブ視点による Cloud Security 入門 ~AWS 編~」
本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介しています。
登壇
登壇に関しては、DAYS はお声がけいただきてオフライン登壇して、PANKRATION は CfP に通ってオンライン登壇しました。
JAWS DAYS 2024
- タイトル:次世代への種を蒔こう 〜学生と社会人との交差点として、JAWS-UGができること〜
JAWS PANKRATION 2024 (CfP)
- タイトル:Threats and Countermeasures in AWS Environments from an Attacker’s Perspective
Threats and Countermeasures in AWS Environmentsfrom an Attacker’s Perspective - Speaker Deck
JAWS PANKRATION 2024 の登壇者用 Swag が届いたー
— morioka12 (@scgajge12) 2024年8月10日
Thank you @jawsdays #jawsug #jawspankration2024 pic.twitter.com/UP3Ke6CfVk
講師
講師に関しては、1件のみ執筆したブログネタをもとに担当しました。
ISC2 Japan Chapter勉強会 2024/07
- タイトル:クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜
クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜 - Speaker Deck
その他
その他、印象深いイベントへの参加としては、初めて AWS Summit Japan に参加して、とても刺激的でした。
今日は AWS Summit Japan (幕張メッセ) 行ってきましたー!
— morioka12 (@scgajge12) 2024年6月20日
クッションも貰えて、聞きたいセッションも聞けて、いっぱいブース回って色々とお話聞けたので、楽しかったです。#AWSSummit pic.twitter.com/beN18W4ZFi
3. 2年目の抱負 (2025年)
興味関心
最近は、やはり 生成 AI 周りに関心があり、AWS サービスでも最近は特にその辺りのリリースが多かったりするため、AWS の AI 周りのキャッチアップできればと思っています。
現状では、「Amazon Bedrock」や「Amazon Q」あたりのサービスに興味があり、2025年は AWS 環境における生成 AI サービスのセキュリティについて整理したいと思います。
(そして、都合がつけばまた Security-JAWS とかで登壇できれば嬉しいですね。)
ブログ「Amazon Bedrockを活用した生成AIアプリケーションにおけるセキュリティリスクと対策」
早速、AWS CB の2年目初のブログとして、昨日 Amazon Bedrock のセキュリティに関するブログを執筆して公開したため、ぜひご覧ください。
Amazon Bedrock は AWS 環境で LLM の基盤モデルを API で手軽に利用するのは便利ですが、生成 AI アプリにおけるセキュリティリスクを正しく認識してセキュリティ対策を実施しなければ、機密情報の漏洩・不正操作・多額の費用請求などの脅威に晒される恐れがあります。
今年初 AWS ネタのブログとして、Amazon Bedrock のセキュリティについて書きました!
— morioka12 (@scgajge12) 2025年5月22日
Amazon Bedrockを活用した生成AIアプリケーションにおけるセキュリティリスクと対策https://t.co/FgUbWsqiWf
4. 終わりに
本稿では、morioka12 の AWS Community Builder 1年目の振り返りと2年目の抱負について少し紹介しました。
引き続き AWS に関するインプットとアウトプットに少しでも取り組んでいければと思います。
ここまでお読みいただきありがとうございました。
日本人バグハンター11人に聞いた!バグバウンティの魅力や面白さについて #BBJP_Podcast
1. 始めに
こんにちは、morioka12 です。
本稿では、ポッドキャスト「Bug Bounty JP Podcast」の企画として、日本人バグハンターの11人に伺ったバグバウンティの魅力や面白さについて紹介します。
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
また、本稿に含まれる各自のコメントは、それぞれの個人の見解(考え方や感想など)によるものです。
想定読者
- サイバーセキュリティに興味がある方
- 特にバグハンティングに興味がある方
- バグバウンティ(脆弱性報奨金制度)に興味がある方
- リアルワールドで脆弱性を発見してみたい方
- バグハンターやセキュリティリサーチャーに興味がある方
- 脆弱性診断やペネトレーションテストに興味がある方
「Bug Bounty JP Podcast」
「Bug Bounty JP Podcast (#BBJP_Podcast)」とは、バグバウンティなどを対象にバグハントすることが趣味なメンバーによる、セキュリティ雑談のポッドキャストです。
月1の頻度で月末に収録とエピソードを公開しています。
- スピーカー
- morioka12 (@scgajge12)
- mokusou (@Mokusou4)
- RyotaK (@ryotkak)
- 公式 X アカウント
- Bug Bounty JP Podcast (@bbjppodcast)
bugbountyjppodcast.notion.site
2. バグバウンティとは
バグバウンティ (Bug Bounty, 脆弱性報奨金制度)とは、Web サービスやスマホアプリなどを提供する企業が、外部のバグハンターの力を借りて対象の脆弱性を発見してもらい、その対価として報奨金がバグハンターに支払われる制度のことです。
バグバウンティは、バグバウンティプラットフォームを導入したり、自社で脆弱性報告窓口を設置して受け付けることなどで実施されます。
有名なバグバウンティプラットフォームとしては、HackerOne・Bugcrowd・Intigriti などがあり、日本では IssueHunt という国産プラットフォームも存在します。
自社スタイルとしては、サイボウズ や Sky が自社でバグバウンティプログラムを運用していたり、NTTコミュニケーションズ は社内限定でバグバウンティプログラムを実施していたりします。
また、バグバウンティ系のイベントとしては、IssueHunt が「P3NFEST」という学生向けのイベントを開催したり、千葉大学が「セキュリティバグハンティングコンテスト」というコンテストを開催したり、電気通信大学が「UEC Bug Bounty」という大会を学内で実施したりしています。
参考までに、現時点で確認できたバグバウンティプラットフォームを導入している(ほぼ)日系企業を以下に記載しておきます。
日系企業一覧 (クリックして表示)
- HackerOne
- ピクシブ株式会社 (BBP)
- LINEヤフー株式会社, LINE (BBP)
- トヨタ自動車株式会社 (VDP)
- ソニーグループ株式会社:Sony (VDP), PlayStation (BBP)
- 任天堂株式会社 (BBP)
- スターバックスコーヒージャパン株式会社 (BBP)
- Bugcrowd
- 楽天グループ株式会社 (VDP)
- Intigriti
- GMOグローバルサイン株式会社, GlobalSign (BBP)
- IssueHunt
- コインチェック株式会社 (BBP)
- 株式会社New Innovations (BBP)
- 株式会社LIFULL (BBP)
- LINE WORKS株式会社 (BBP)
- 株式会社Finatextホールディングス (BBP)
- 株式会社シンクロ・フード (BBP)
- 株式会社サイバーエージェント:WINTICKET, ABEMA (BBP)
- 株式会社Helpfeel (BBP)
- 株式会社ソラコム (BBP)
- ビットバンク株式会社 (BBP)
- HENNGE株式会社 (VDP)
- 株式会社エニグモ (VDP)
- 株式会社Dai (VDP) (VDP)
- 株式会社ヌーラボ (VDP)
- ディップ株式会社 (VDP)
- 株式会社ハックルベリー (VDP)
- 株式会社ワンキャリア (VDP)
- 株式会社バンダイ (VDP)
- KINTOテクノロジーズ株式会社 (VDP)
- テックタッチ株式会社 (VDP)
- 株式会社GMW (VDP)
用語の整理
- バグハンティング (Bug Hunting)
- 脆弱性を調査して報告する活動のこと。
- バグハンター (Bug Hunter)
- 脆弱性を調査して報告する人のこと。
- バグバウンティハンター (Bug Bounty Hunter)
- バグバウンティプログラムを対象に脆弱性を調査して報告し、対価で報奨金を獲得する人のこと。
本稿では、バグハンターとバグバウンティハンターを統一して「バグハンター」と称しています。
3. 日本人バグハンター11人
本インタビューでは、主に以下のような方を対象として集いました。
- ポッドキャストのスピーカー(3名)
- 外部のご協力者(8名)
- スピーカーの知り合いやポッドキャストのリスナーの方
- バグバウンティプラットフォームでバグハンティングにある程度取り組まれている方
その結果、以下の11名の日本人バグハンターの方々からバグバウンティの魅力や面白さについて、インタビューしました。
- morioka12 (@scgajge12): Bug Bounty since 2020
- mokusou (@Mokusou4): Bug Bounty since 2021
- RyotaK (@ryotkak): Bug Bounty since 2019
- Masato Kinugawa (@kinugawamasato): Bug Bounty since 2010
- niwasaki (@iwasakinoriaki): Bug Bounty since 2012
- ななおく (@ooooooo_q): Bug Bounty since 2014
- nakyamad (@nakyamad_jp): Bug Bounty since 2019
- kuzushiki (@kuzu7shiki) : Bug Bounty since 2021
- taise (@1_am_nek0) : Bug Bounty since 2023
- λ沢 (@lambdasawa): Bug Bounty since 2024
- YusukeNakajima (@nakajimeeee): Bug Bounty since 2024
改めて、今回のインタビュー企画にご協力いただき、大変ありがとうございました!
共通の質問項目
- 簡単な自己紹介と好きな脆弱性
- バグバウンティ歴
- バグバウンティに取り組み始めたきっかけや初期の思い出
- バグバウンティの魅力や面白いと思う点
- バグバウンティに興味ある方へのメッセージ
morioka12 さん (@scgajge12)
1. 簡単な自己紹介と好きな脆弱性
セキュリティベンダーに所属する24卒のセキュリティエンジニアで、学生時代から Web やクラウドの脆弱性診断を3年ほど経験し、その後に Web ペネトレーションテストなども2年ほど経験してきました。
プライベートではバグバウンティにも取り組み、サイバーセキュリティに関連するイベントで登壇や講師を担当したり、コミュニティ運営をしたり、たまにブログ記事を書いたりしています。
また、好きな脆弱性は、Open Redirect と Client Side Path Traversal を組み合わせた XSS です。
特に、色々な怪しい挙動を示すガジェットを探し集め、他の脆弱性と組み合わせて脅威をエスカレーションできるかなどのアプローチを色々考えたり検証したりするのが面白くて好きです。
2. バグバウンティ歴
バグバウンティは、2020年から主に Web サイトや Web アプリケーションのドメインを対象に取り組み始めました。
特に、取り組み始めた2020年3月から4月中旬まで集中して取り組み、2020年4月中旬に Intigriti の全体ランキングで Top 100 内の83位にランクインしました。(この頃は今より Intigriti のバグハンターがそこまで多くなかった)
その後は、Intigriti で2024年の第1四半期(1月から3月)のランキングにおいて「17位の功績」を残せて、20位以内の受賞を頂きました。
社会人になってからはあまり取り組めておらず、直近だと2025年の1月に少しだけ集中して取り組んで、何件か報告して報奨金を獲得しました。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
バグバウンティを始める前までは、高校生の頃から競技プログラミングや Web アプリの開発、ログ分析などに少し取り組んだ後に、Web Security の学習をするようになりました。
その過程で、書籍でセキュリティを学んだり、CTF の問題を解いてみたりして、もっと「リアルな脆弱性」というものに興味が湧き、より実践的に脆弱性を探す取り組みはないかと探す中で、バグバウンティというものを知りました。(この知ったのが2019年の秋頃)
その前後は、PortSwigger の Web Security Academy や PentesterLab で Web の脆弱性について学んだり、実際の脆弱性レポートやバグハンターの解説ブログを読んだり、脆弱性の探し方や Tips、ツールなどを調べたりして、バグバウンティでバグハントするための準備学習に取り組んでいました。
そして、約半年後の2020年3月ごろからバグバウンティに取り組み始めて、2020年3月23日で初の報奨金を獲得することができました。
ちなみに、初めて獲得した報奨金の脆弱性は確か RXSS (Reflected XSS)で、報奨金は €250 で日本円で3万円くらいだったと思います。
4. バグバウンティの魅力や面白いと思う点
バグバウンティの魅力だと思う点は、自分自身が脆弱性を探す能力を高めることで、リアルワールドで実際の脆弱性を探す経験ができ、結果として個人の実績になり、対価として報奨金も貰え、尚且つ社会貢献になることだと思います。
また、バグバウンティは好きな場所で好きな時間帯に好きな時間だけ取り組むことができ、とても自由度の高い取り組みスタイルが可能なため、脆弱性を探すことが好きな方にはとても相性が良いと思います。
ちなみに、それらの個人の取り組みが、最終的に企業やユーザーへのセキュリティ貢献にも繋がるため、自己満足で終わらずにやりがいも感じると思います。
次に、バグバウンティが面白いと思う点は、規約の範囲で許可のもと、リアルワールドのサービスや製品に対して脆弱性を探して深く検証して良い点だと思います。
バグバウンティでは、規約の範囲内で実際にセキュリティ上の脅威が一定示せる脆弱性が求められるため、それらの調査と検証をリアルワールドで行うことができます。(もちろん倫理観は重要です。)
ちなみに、バグバウンティは、他の人がまだ見つけていない脆弱性を見つけて第一報告者のみが報奨金を獲得できる仕組みとなっているため、運や調査の戦略も含めて実力勝負な点もあったりします。
また、バグバウンティプラットフォームには、リーダーボードというランキング制度もあり、バグハンター同士の競い合いや外部評価が示される環境もあるため、取り組んだ成果が個人の実績として評価されます。 (そのため就活とかにも活かせるかもです。)
5. バグバウンティに興味ある方へのメッセージ
バグバウンティは、傍から見るとお金が貰えてキラキラした世界と思えて、いざ取り組んでみると調査の過程などで地味と思う方もいるかもしれません。
ですが、リアルワールドのサービスや製品に対して(規約の範囲で)自由に脆弱性を調査したり検証したりする過程は、色々とクリエイティブに考えることが面白く、やりがいもあり、個人の実績にもなり、対価で報奨金も貰えて、取り組み結果が自己満足で終わらずに企業やユーザーへのセキュリティ貢献にも繋がります。
もし、リアルワールドの脆弱性に興味があり、バグバウンティやバグハンティングなどに興味のある方は、事前学習や事前準備をした上で、ぜひ一度チャレンジしてみてください。
初めは焦って結果ばかり求めずに中長期的な目標で継続的に励み、自分なりの調査や検証のアプローチを楽しみながら模索して、好奇心や探究心を持ちならが倫理観も忘れずに取り組んでみましょう。
特に、学生の方は「P3NFEST」という学生向けのバグバウンティイベントも定期的に開催されているため、そちらに参加してみることも良いと思います。
バグバウンティ全般について理解を深めたい方は、以下のスライドや開催記ブログをぜひご覧ください。
実践的なバグバウンティ入門 (2025年版) - Speaker Deck
mokusou さん (@Mokusou4)
1. 簡単な自己紹介と好きな脆弱性
2023年に Web の脆弱性診断をしている会社に新卒で入り、2024年から会社を辞めて専業のバグハンターをしています。
特に好きな脆弱性の種類はないのですが、概して発見に手間がかかるような複雑なものが好きです。
発見時の達成感や喜びもその分大きくなりますし、Duplicate になる可能性も低いからです。
2. バグバウンティ歴
2021年初頭に始めました。
その後就活やら留学やらで一年ほどやっていない時期を挟んで2022年から細々と再開し、2024年頭から会社を辞めてフルタイムのバグハンターになりました。
基本的に HackerOne で活動していますが、フルタイムに変えてからは他の会社やプラットフォームも利用するようになりました。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
当時は大学生だったのですが、地元の教会で偶然 Justin というバグハンターと出会い、興味本位でパソコンを弄り始めました。
大学での専攻は文系でコンピュータサイエンス全般の知識がなかったため、お金を稼げるというよりは全く知らない分野を学ぶ楽しさでやっていました。
初めの半年くらいは HTML や JS を勉強したり、PortSwigger 社の Web Security Academy を進めるのが主で、脆弱性を探す際は基本的にアクセス制御や IDOR を主に探していました。
4. バグバウンティの魅力や面白いと思う点
フルタイムで一年ほどやってみて、仕事として魅力に思う点は、脆弱性探しと成果の相関が比較的明確である点だと思います。
怖い上司やら謎の理不尽やら他の要素が入ってくることがあまりありません。
既存の脆弱性や新しいリサーチに興味を持ったり、脆弱性を探す時間を増やすといった地道な積み重ねをすると、長期的な成果(成長/報奨金)に結びつきやすい点が好きです。
5. バグバウンティに興味ある方へのメッセージ
僕も狙っていますが、一攫千金というのはなかなか難しいと思います。
むしろバグを探したり新しい知識を得ること自体を楽しめると、長く続くんじゃないかと思います。
RyotaK さん (@ryotkak)
1. 簡単な自己紹介と好きな脆弱性
皆さんこんにちは、RyotaK です。
現在21歳で、2020年頃からプログラマーとして別の会社に勤務した後、2021年から GMO Flatt Security株式会社でセキュリティリサーチャーとして勤務しています。
最近は、主に社外ソフトウェアやサービスの脆弱性調査に取り組んでいます。
好きな脆弱性はサニタイザーやサンドボックスなどの回避が可能な脆弱性です。
明確にセキュリティ境界であるところを、様々な仕様や実装上の考慮漏れなどを組み合わせて回避するのがパズル的で気に入っています。
2. バグバウンティ歴
2019年からちょこちょこやり始めて、5~6年ほど趣味や仕事でバグハンティングをしています。
最近はあまり積極的にはやっていませんが、仕事でリサーチ活動をやっているため、報奨金が発生する企業に対して報告することもしばしばあります。
直近の報告だと Google などに報告していたり、組み込み機器の脆弱性をいくつか報告していたりなど、バグバウンティの範囲に留まらず様々な製品の脆弱性を報告しています。
また、こちらも最近はあまり参加できていないのですが、国内外で開催される ライブハッキングイベント に参加していくつかの賞を頂いたこともありました。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
どのようにして始めたかはあまり詳しくは覚えていないのですが、映画に出てくるようなかっこいいハッキングシーンへの憧れがあったところに、バグバウンティという企業側がハッキングを許可する仕組みがある、と知ったのがきっかけだったように思えます。
当初はよく分からずに脆弱性を探していたため、無効な報告をいくつかした後、かなり軽微な問題が認められたといったような流れだった気がします。
そこから、どういった脆弱性が認められるのかを学習していき、少しずつ深刻度の高い報告もできるようになっていったという流れですね。
4. バグバウンティの魅力や面白いと思う点
バグバウンティというよりはバグハンティング全般の話となってしまうのですが、最初の質問でも回答した通りパズルのような壁にあたった場合に、それを頑張って突破するのが面白いですね。
僕はどちらかというとブラックボックス的手法よりは、ソースコードを読むホワイトボックス的手法の方が得意なのですが、ソースコードを呼んでいる際に「このフィルタが回避できたら〇〇ができる」だったり、「この条件を満たせれば〇〇ができる」といったような状況に遭遇することがしばしばあります。
そういったときに、それらの障壁を様々な制約を掻い潜って回避していき、最終的に脆弱性として成立させることができるととても楽しいです。
また、バグバウンティについては、自分が使っているサービスの裏側を調査できたりして、あまり知られていない仕様などを知ることができるというのも醍醐味の一つですね。
思いも寄らない仕様を発見し、普段使っているサービスの隠された機能を活用できるようになるととても便利だったりもします。
5. バグバウンティに興味ある方へのメッセージ
バグバウンティに限らずなのですが、バグハンティングを始めたい!という人は、まずある程度のアプリケーション開発経験を積んでおくと良いと思います。
いきなりバグハンティングを始めるのではなく、自分でアプリケーションを開発することで、バグハンティングをする際にどのようにして対象のアプリケーションが実装されているか、といったような理解ができるようになるため、結果としてより深い箇所に脆弱性を見つけられるなどの恩恵を受けることができます。
少し前に作成した資料 にも記載しましたが、他の人が見つけた脆弱性のパッチを解析するのも有効な学習方法になるかと思うので、ぜひやってみてください。
また、様々なブラックボックスベースのテストについては、PortSwigger社の Web Security Academy などもおすすめです。
コードから探す脆弱性 〜ホワイトボックスで始めるバグハンティング〜 ryotak.net
Masato Kinugawa さん (@kinugawamasato)
1. 簡単な自己紹介と好きな脆弱性
Kinugawa です。
バグバウンティで生計を立てていた職業バグハンター時代を経て、現在は仕事で脆弱性診断をしています。
好きな脆弱性は XSS です。
2. バグバウンティ歴
2010年11月に Google が Web アプリケーションの脆弱性に対して報奨金を支払うと発表した時からなので、14年とちょっとということになります。
専業時代に比べれば積極的にバグバウンティに取り組むことは減りましたが、今も気が向いたときや、何かアイデアが浮かんだときなどには取り組んでいます。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
2010年頃、XSS って面白いなと Web アプリケーションのセキュリティに興味を持っていた時に、Google が、対象がWebアプリケーションのものとしては初めてバグバウンティを開始したので、関心のある Web セキュリティの勉強をしながらお金を貰えるならちょうどいいしやってみようというかんじで始めました。
この時の最初の一連の報告だけで100万円に届きそうな賞金が入ってきたことは衝撃でした。現実感を得るために一度現金で手元に持ってきたことを覚えています。 今でこそ多くのハンターがいて、たくさん稼いでいる人の話も聞きますが、当時はまだ誰もバグバウンティで稼ごうとする人はいない時代だったので不思議な感覚でした。
より詳しい経歴は P3NFEST というイベントでの発表資料で触れていますので、興味がある方はご覧ください。
バグハンティングのすゝめ / P3NFEST - Speaker Deck
4. バグバウンティの魅力や面白いと思う点
脆弱性を探しさえすればよいというシンプルさが好きです。
社会では本当に集中したいこと以外の部分で疲弊することが多々ありますが、バグバウンティでは誰にも強要されることなく1人で好きな時間にバグを探してきて提出すれば人の役に立つしお金ももらえるというのが気楽で良いです。
また単純にバグを探すのはパズルのようで楽しいです。
5. バグバウンティに興味ある方へのメッセージ
成功しているハンターたちは皆バグ探しそのものを楽しんでいる印象を受けます。
お金を得ることはバグバウンティに取り組む1つの目的ではありますが、そこに執着すると思うようにいかないことも多いかもしれません。
まずはバグ探しの楽しさをつかむところからはじめてみましょう。楽しんでいるついでにお金がもらえるくらいの感覚で取り組めると、思うようにいかないことも受け流せるし、長続きして結果的に大きな成功につながると思います。
niwasaki さん (@iwasakinoriaki)
1. 簡単な自己紹介と好きな脆弱性
仕事では主に Web アプリケーション診断を担当しています。
毎日のように脆弱性を探していても飽きないので、これは天職なのではないかと思っています。
最近、プライベートでは集中してバグバウンティできていませんが、隙を見つけてゆるく続けています。
好きな脆弱性は XSS です。
alert を見ると快楽物質が分泌されるくらいには脳が学習していそうです。
2. バグバウンティ歴
13年くらいになると思います。
- 2012年: Facebook ではじめての報告、IE6 特有だったため却下
- 2013年: Yahoo! ではじめて accept され、Tシャツ獲得
- 2013年: サイボウズの脆弱性発見コンテストで 4位、報奨金獲得
- 2014年: HackerOne の利用開始、2019年まで頻繁に報告 (223件)
- 2020年: Bugbounty.jp の利用開始、2024年終了時のランキング 5位
- 2025年: サイボウズ、IssueHunt、HackerOne などで控えめに活動中
3. バグバウンティに取り組み始めたきっかけや初期の思い出
仕事の Web アプリケーション診断では、脆弱性を見つけるのが得意だったので、そのスキルをバグバウンティでも試したくなりました。
最初のころは脆弱性の報告がなかなか accept されずに苦悩していました。
HackerOne に参加するようになってからは報告した件数も、獲得した報奨金も増えていきました。
あるプログラムで DOM Based XSS を報告した時の報奨金が $███ でしたが、同時開催されていたコンテストに知らずにエントリーされていたらしく、2位で $████ が追加されたのはうれしい誤算でした。
このあたりからバグバウンティに、はまっていったと記憶しています。
4. バグバウンティの魅力や面白いと思う点
脆弱性を見つけること自体が楽しいですが、その結果としていろいろな報酬を得られる事です。
報奨金が獲得できるのはもちろんですが、Tシャツやぬいぐるみなどが届いたり、謝辞に名前がクレジットされるのもよいと思います。
それから swag と一緒にメッセージカードが送られてきたり、報告のやりとりの中で感謝されたときは、単純にうれしいです。
5. バグバウンティに興味ある方へのメッセージ
バグバウンティを始めるにも、続けるにもモチベーションが必要になると思います。
自分は、バグハンターが集まるイベントに参加したり、「Bug Bounty JP Podcast」で話を聞いたりすると、モチベーションが上がるのでおすすめかもしれません!
nakyamad さん (@nakyamad_jp)
1. 簡単な自己紹介と好きな脆弱性
こんにちは、nakyamad です。
事業会社のセキュリティ部門で、レッドチーム的な業務を担当しています。
サイト間の連携処理に潜む脆弱性を見つけるのが好きです。
2. バグバウンティ歴
バグバウンティを始めたのは2019年の春ごろです。
それ以来、余暇を使って脆弱性を探す日々を6年間続けており、これまでに報告した脆弱性は300件ほどになります。
活動の中心は、これまで HackerOne の Private Program(招待制)でしたが、最近では Public Program(公募制)や Meta 社が運営するような個別のプログラムにもチャレンジしています。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
きっかけは、当時勤めていた会社で Web アプリ診断の業務を任されたことでした。
ハンズオン形式の研修や練習用アプリで基礎を学んではいたものの、「果たして実環境で脆弱性を見つけられるのだろうか?」という不安があり、もっと実践経験を積みたいと感じていました。
そんなとき、ネット記事でバグバウンティの存在を知り、HackerOne ではルールを守れば実環境での調査が許されていることを知って、取り組み始めました。
最初は、OWASP Testing Guide に載っている脆弱性の解説を読んでペイロードを試すことからやっていた記憶があります。
バグバウンティプログラムでは全然脆弱性を見つけられなかったため、一旦は報奨金が発生しない VDP(Vulnerability Disclosure Program) に戦場を移しました。
始めて2か月ほど経った頃、もう一度バグバウンティプログラムに挑戦してみたところ、軽微ながらも脆弱性を1件発見でき、初めて報奨金が支払われました。
あのときの嬉しさは、今でも鮮明に覚えています。
4. バグバウンティの魅力や面白いと思う点
期限に縛られず、自分のペースで調査に没頭できる点がバグバウンティの大きな魅力だと思います。
たとえ脆弱性を見つけられなくても、「やり切った」と思えるまで調査をやり込むことで、他では得られないような知見や勘所が得られると感じています。
5. バグバウンティに興味ある方へのメッセージ
バグバウンティに挑戦するなら、「報奨金(バウンティ)はオマケ」くらいの気持ちで始めるのがちょうどいいと思います。
まずは手を動かして調査することを習慣化することが、上手くいく秘訣だと思います。
きっと楽しいので、ぜひ一歩踏み出してみてください!
ななおくさん (@ooooooo_q)
1. 簡単な自己紹介と好きな脆弱性
本業は Web サービスの開発をしていまして、Rails や React を使っています。
副業としてバグバウンティに取り組んでいます。
脆弱性は XSS が好きですが、プロトコルや仕様の組み合わせで発生する脆弱性も好きです。
2. バグバウンティ歴
10年以上前に mixi の脆弱性報告制度に参加したのが最初です。
その際は報奨金を受け取れるようなものは見つけられませんでしたが、その後サイボウズなどに報告して何度か報奨金をいただきました。
何年か前からは主に Ruby や JS の OSS の脆弱性を探しています。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
XSS に興味を持ったのは、以前 Evernote で XSS が見つかった話を見たのがきっかけだったと思います。
Ruby の脆弱性を探し始めたころは、Ruby ドキュメントにあるメソッドを上から順に試していました。
4. バグバウンティの魅力や面白いと思う点
OSS の脆弱性を探す場合の話になりますが、普段開発しているときに気をつける点などもわかるようになってくること、逆に開発時にミスしがちなことが脆弱性として探すヒントになることもあります。
脆弱性のレポート内で説明することができれば、営業などしなくて良いというのも楽だなと感じています。
5. バグバウンティに興味ある方へのメッセージ
いろいろな仕様や挙動を確認して、何ができるか色々探って組み合わせて見るといつか使うときがくるかもしれません。
kuzushiki さん (@kuzu7shiki)
1. 簡単な自己紹介と好きな脆弱性
20卒のセキュリティエンジニアです。
子供の頃からゲームのバグを探したりバグ動画を見たりするのが好きで、その趣味が高じて昨年まで脆弱性診断の仕事をしていました。
現在は情シスで社内セキュリティ向上施策の推進に取り組んでいます。
好きな脆弱性は、単一システムでは問題にならないが複数のシステムが連携した際に解釈の違いから生まれる Smuggling Attack や Desync Attack です。
もちろん、それ以外にも様々な脆弱性に興味があります。
Security․Tokyo #2 では GraphQL のセキュリティをテーマに登壇しました。
2. バグバウンティ歴
バグバウンティ活動を始めたのは2021年頃で、 Hacker101 CTF でポイントを稼ぎつつ HackerOne のプライベートプログラムに挑戦し始めました。
最初は何をすればよいか全然分からなかったので、他のハッカーが公開しているバグレポートをひたすら読み漁っていました。
しばらくして単純な XSS を見つけられるようになり、2023年ごろには OAuth や GraphQL などが絡んだテクニカルな脆弱性も報告できるようになりました。
Stealing Users OAuth authorization code via redirect_uri hackerone.com
3. バグバウンティに取り組み始めたきっかけや初期の思い出
自社での脆弱性診断は決められた範囲のチェックに留まり、新たな発見がなかなか得られず退屈さを感じていました。
そんな中、より自由な発想で好きな機能を好きなだけ深堀できるバグバウンティに魅力を感じ、バグバウンティを始めてみようと思い立ちました。
4. バグバウンティの魅力や面白いと思う点
バグバウンティの最大の魅力は、発見した脆弱性がハッカーを含む世界中のセキュリティコミュニティから評価される点だと思っています。
自分が発見した脆弱性について200以上の「いいね」がついたり、ポッドキャストで取り上げられたこともありました。
もちろん賞金がもらえるのも魅力ですが、あの時の興奮は今でも忘れられません。
5. バグバウンティに興味ある方へのメッセージ
バグバウンティに興味を持った方は、まずはどのプラットフォームでも構わないので、アカウントを作成してチャレンジしてみてください。
行き詰ったときは他のハッカーが提出したバグレポートを読んでみましょう。多くのテクニックに触れることができ、自然とまた挑戦してみたくなるはずです。
taise さん (@1_am_nek0)
1. 簡単な自己紹介と好きな脆弱性
こんにちは、taise です。
現在は主に内部ネットワークのペネトレーションテストを担当している会社員をしています。
学生時代に PC をゲットして Web 開発のアルバイトや脆弱性診断を経験しました。
好きな脆弱性は Open Redirect です。
単体ではインパクトが小さいですが、他の挙動と組み合わせて気持ちの良い脆弱性を作るスパイスみたいなやつです。
2. バグバウンティ歴
1、2年くらいで、主に HackerOne で活動しています。
本格的に始める時には脆弱性を見つけるために何をしたらいいかは知ってる程度の知識はあったと思います。
Web の脆弱性は基本的には PortSwigger 社の Web Security Academy で学びました。あとはコードを読んだり書いたりして遊んでました。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
Bug Bounty JP Podcast のスピーカーである mokusou と一緒に勉強する機会があって、隣でやってるの見て影響を受けたところからですね。
(学生の頃に HackerOne に登録したけど何も見つけれなかったアカウントを掘り起こして再開しました。)
何の戦略もありませんでしたが、片っ端から RXSS を探して100ドル貰えたのが初めの賞金でした。
4. バグバウンティの魅力や面白いと思う点
バグが見つからないことが面白いです。
自分は 1つのプログラムで1ヶ月かけて1~2件報告できたら上出来だと思っているのですが、その同じプログラムの1ヶ月の合計 Accept 数は2,3倍以上になっていることがほとんどなので常にビビってます。
自分はライブハッキングイベントに参加したことはないのですが、何回もトップハンターたちを集めてやってるはずなのに毎回ポコポコとバグが見つかり続けているのを見ると不思議です。
バグバウンティは技術力勝負だと思われる人もいますが、どう戦うかみたいな戦略面やマインド面も大きい要素なのでその辺りの試行錯誤も楽しいです。
5. バグバウンティに興味ある方へのメッセージ
まずは手を動かしてみることをお勧めします!
きっとなかなか見つかりませんが、技術にしろマインドにしろ色々と試し続けていけばだんだんと自分だけの観点や考え方が育っていくと思います。
バグは常にあるので興味がある方は是非挑戦してみるのが良いと思います!
λ沢 さん (@lambdasawa)
1. 簡単な自己紹介と好きな脆弱性
はじめまして!2016~2023 年までプログラマとして働いていましたが、 2023 年に GMO Flatt Security という会社に転職して、今は主に Web アプリの脆弱性診断をしています。
もっと色んなシステムを見てみたいと思うようになったことがこのようなキャリアチェンジのきっかけでした。
もともと BurpSuite などを扱う時間より IDE でコードを読み書きする時間が長い人生を送ってきたので、今でもホワイトボックス的なアプローチで脆弱性を探すのが好きです。
好きな脆弱性は SSRF や LFI のようなサーバー側のリソースにアクセスできる類のものです。
特に API キーや環境変数などが漏洩するものが好きです。
コードを書いているときに嫌だなぁ怖いなぁと思っていた事象が、今では立場が変わって逆に好きな事象になったという感じです。
ちょうど 始めて見つけた脆弱性 がそのタイプの SSRF だったという思い出補正的な要素もあります。
SSRF Exposes OpenAI API Keys in berriai/litellm huntr.com
2. バグバウンティ歴
バグバウンティを本格的に始めたのは 2024/02 頃からでした。
活動初期は huntr という OSS 向けのプラットフォームを使ってバグバウンティをしていました。
OSS なのでホワイトボックス的なアプローチが可能であることと、比較的バウンティが安かったこと(競争率が低く初心者でも成功体験を得られる可能性が高そうだったこと)が、当時の自分に適していました。
ただし、最近の huntr は AI/ML 専用プラットフォームになっています。
Web セキュリティの知識だけでバウンティがもらえる機会ははかなり少ないはずですが、VDP のプラットフォームとして今でも悪くないです。
huntr でいくつかレポートがトリアージされてからは、より大きいホワイトボックスのターゲットにチャレンジしたいと思うようになりました。
そんな経緯で最近は GitLab のコードを読んでいることが多いです。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
RyotaK さんのブログを読んだことがきっかけで、バグバウンティに興味を持つようになりました。
ただし、彼のブログを読み始めた当時はソフトウェア開発に集中しており、この時点ではバグバウンティのために手を動かすことはほとんどありませんでした。
しかし、プログラマからセキュリティエンジニアにキャリアチェンジしてから、バグバウンティに対するモチベーションが上がる機会が何度かありました。
具体的には、社内のバグバウンティコミュニティで面白いバグを紹介してもらったり、仕事でそれなりに良いバグを見つけて自信を得たり、そういった出来事がありました。
そういった環境の変化が本格的にバグバウンティに取り組むきっかけとなりました。
バグバウンティで最初に見つけた脆弱性は CodeQL のスキャンで見つけたものだったので、意外とシンプルな脆弱性が見逃されていることがあったり、今まで見逃されていてもアプローチを変えると一瞬で見つかるものもあるんだな〜などと感じたことが初期の良い思い出です。
4. バグバウンティの魅力や面白いと思う点
各バグごとにバウンティが支払われるのは最初の報告者一人だけ、というルールの中で競うことが一番の醍醐味だと思います。
バウンティを受け取るということは、金銭的な報酬が得られるという強いインセンティブがあり世界中に潜在的な競争相手がいるなかで、少なくともそのバグに関しては自分が世界一早く見つけたと認められることになります。
(バグを見つけて報告せずに悪用している人もいるかもしれませんが、少なくとも倫理的な人の中では世界一と考えても許されるでしょう)
また、実際に運用されているソフトウェアのバグ修正に貢献することは誇らしいことでもあると感じています。
もちろん、セキュリティ分野全般に見られるパズル的な面白さや、金銭的な報酬が得られることも大きな魅力です!
5. バグバウンティに興味ある方へのメッセージ
脆弱性を探すことは楽しいです。
しかし人は霞を食べていくことはできないため、無償で脆弱性を探し続けることはサスティナブルではないかもしれません。
サスティナブルな脆弱性調査のスタイルとしてバグバウンティに取り組むという考え方も面白いのではないでしょうか!
YusukeNakajima さん (@nakajimeeee)
1. 簡単な自己紹介と好きな脆弱性
株式会社NTTデータグループでセキュリティエンジニアをしている中島と申します。
2019年に新卒で入社し、最初の4年間は官公庁向けの営業を担当していましたが、案件を通じてサイバーセキュリティに興味を持ち、2023年4月に同社の CSIRT 部隊へ異動しました。
入社当初からセキュリティに携わっていればよかったと感じることもありますが、一方で、営業経験で培った考え方やスキルはセキュリティエンジニアとしての活動にも活かされていると実感しています。
現在、CSIRT 部隊では、インシデント対応や脅威情報共有プラットフォーム(MISP)を中心とした攻撃者の痕跡(IoC)の収集・処理・セキュリティ機器への適用、AI を活用した CSIRT 業務の改善などに従事しています。
活動内容に興味がある方は、JPCERT 主催の 「JSAC2025」で発表した内容 をご覧いただけると嬉しいです。
私が特に興味を持っているのは、ウェブアプリケーションにおけるレースコンディションです。
この脆弱性を悪用するには、複数のリクエストをほぼ同時に処理させる必要があり、コードベースでの発見が難しいため、未発見のまま多くのウェブアプリケーションに潜んでいる可能性が高いと考えています。
また、多くの脆弱性はユーザーの入力をトリガーとしますが、レースコンディションはセッション管理の不備によって、ユーザー入力がなくても意図せず個人情報などが漏洩するケースがあるため、非常にユニークで興味深い脆弱性だと感じています。
2. バグバウンティ歴
バグバウンティを始めて約1年になります。
最初は HackerOne を中心に取り組んでいましたが、当時の自分の実力では、多くの優秀な研究者たちと競争するのは難しいと感じたため、社員限定で参加できるグループ会社のプライベートプログラムを中心に探索を行うようになりました。
日経新聞さんで、当社のバグバウンティプログラムについて紹介されているので、興味がある方はご覧になってください。
NTT、社員20万人でサイバー防衛 弱点発見で報奨金 - 日本経済新聞
この方針転換が功を奏し、多くの脆弱性を発見することができました。
また、この1年で様々な観点から脆弱性を探索できるようになったため、最近では再び HackerOne での探索を本格的に再開しています。
バグバウンティを始めて3か月経った頃、「自分の経験をシェアしたい」と思い、バグバウンティに興味を持つ人向けにブログを執筆しました。興味がある方はぜひご覧ください。
3. バグバウンティに取り組み始めたきっかけや初期の思い出
バグバウンティを始めたきっかけは、morioka12 さんのブログ記事「バグバウンティ入門(始め方)」を読んだことです。
最初の頃は、明確な戦略もなく、脆弱性の概要を知っている程度だったため、脆弱性を発見するどころか、少しでも「怪しい」と思える挙動すら見つけることができず、何度も挫折しそうになりました。
しかし、PortSwigger 社の Web Security Academy で地道に学習を続けた結果、2024年4月に初めての脆弱性(XSS)を発見することができました。
1件見つけたことで、「自分のやってきたことは間違っていなかった」「まだ他にも脆弱性が潜んでいるはずだ」と自信がつき、バグバウンティに費やす時間も増え、次々と脆弱性を発見できるようになりました。
2025年2月末時点では、バグバウンティプログラムで約40件、OSS の脆弱性を6件発見しています。
4. バグバウンティの魅力や面白いと思う点
バグバウンティの最大の魅力は、オフェンシブセキュリティの知識を実践的に学びながら、報奨金を得られる点にあると思います。
また、多くの研究者が日々新しい攻撃ベクターを生み出しており、その知見を取り入れながら探索を続けることで、「もう脆弱性はないだろう」と思っていたプログラムから新たな脆弱性を発見することもできます。
こうした点が、バグバウンティの奥深さであり、面白さだと感じています。
5. バグバウンティに興味ある方へのメッセージ
バグバウンティ歴1年の自分が語るのはおこがましいですが、「かけた時間に比例して脆弱性が見つかる」ということは間違いなく言えます。
とはいえ、闇雲に取り組んでも効率は上がらないため、コミュニティで共有されているナレッジを活用することが脆弱性発見の近道です。
安心・安全な世界の実現を目指しながら、オフェンシブセキュリティの知識も深められるバグバウンティに、ぜひ一緒に取り組みましょう!
4. 終わりに
本稿では、ポッドキャスト「Bug Bounty JP Podcast」の企画として、日本人バグハンターの11人に伺ったバグバウンティの魅力や面白さについて紹介しました。
少しでも日本でバグバウンティやバグハンティングに興味を持って取り組む方が増えてくれれば、幸いです。
また、ぜひポッドキャスト「Bug Bounty JP Podcast」を作業中やバグハント中にでもお聞きください!
スピーカーが楽しくあえてニッチ寄りな雑談をしているだけですが、少しでも為になったり、モチベーションアップに繋がったりしてもらえると嬉しいです。
(現在は「Spotify for Creators」「Spotify」「Apple Podcasts」「Amazon Music」で配信しています。)
- Bug Bounty JP Podcast • A podcast on Spotify for Creators
- Bug Bounty JP Podcast | Podcast on Spotify
- Bug Bounty JP Podcast - ポッドキャスト - Apple Podcast
- Amazon Musicのポッドキャスト番組「Bug Bounty JP」
ここまでお読みいただきありがとうございました。
バグバウンティにおける脆弱性報告ランキング Top 10 (2024年版)
1. 始めに
こんにちは、morioka12 です。
本稿では、2024年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10 について紹介します。
- 1. 始めに
- 2. Bug Bounty Top 10 Vulnerability Types
- 3. HackerOne Most Popular Votes Top 10
- 10位:Reflected XSS on Pangle Endpoint
- 9位:Remote vulnerabilities in spp
- 8位:SAML Signature verification bypass allows logging into any user (with specific conditions)
- 7位:Change phone number OTP flaw leads to any phone number takeover
- 6位:Insecure Direct Object Reference (IDOR) Allows Viewing Private Report Details via /bugs.json Endpoint
- 5位:HackerOne SAML signup domain enforcement bypass results in unauthorized access to HackerOne PullRequest organization
- 4位:Infromation Disclosure To Use of Hard-coded Cryptographic Key
- 3位:View Titles of Private Reports with pending email invitation
- 2位:Stored-XSS-ads.tiktok.com
- 1位:Attachment disclosure via summary report
- ランキング表
- 4. その他
- 5. 終わりに (まとめ)
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
想定読者
- バグバウンティ(脆弱性報酬金制度)に興味ある方
- 脆弱性診断やペネトレーションテストなどに携わる方
- Web アプリやモバイルアプリの開発、保守運用などに携わる方
OWASP Projects
OWASP (Open Worldwide Application Security Project)は、各分野のセキュリティに関するドキュメントを公開しています。
OWASP Top 10
https://owasp.org/www-project-top-ten/
OWASP Top 10 API Security Risks
https://owasp.org/API-Security/editions/2023/en/0x11-t10/
OWASP Mobile Top 10
https://owasp.org/www-project-mobile-top-10/
OWASP Top 10 for LLM Applications
https://owasp.org/www-project-top-10-for-large-language-model-applications/
2. Bug Bounty Top 10 Vulnerability Types
ここでは、2024年のバグバウンティプラットフォームにおける脆弱性 Top 10 について紹介します。
HackerOne
- Cross-Site Scripting (XSS)
- Information Disclosure
- Improper Access Control
- Misconfiguration
- Insecure Direct Object Reference (IDOR)
- Improper Authentication
- Privilege Escalation
- Open Redirect
- Business Logic Errors
- SQL Injection
2024年に HackerOne で報告された脆弱性レポートにおいて、約20%が XSS であっという統計データがありました。
https://www.hackerone.com/resources/reporting/8th-hacker-powered-security-reportwww.hackerone.com
Bugcrowd
- Reflected Cross Site Scripting (XSS)
- Disclosure of Secrets
- Insecure Direct Object Reference (IDOR)
- Lack of Security Headers
- Failure to Invalidate Session
- Stored XSS
- Content Spoofing
- Open Redirect
- Directory Listing Enabled
- Misconfigured DNS
Intigriti
統計データなし
YesWeHack
- Cross-Site Scripting (XSS)
- Improper Access Control
- Information Disclosure
- Insecure Direct Object Reference (IDOR)
- Business Logic Errors
3. HackerOne Most Popular Votes Top 10
ここでは、2024年に HackerOne で開示された脆弱性報告の中で最も人気投票が多かった Top 10 について紹介します。
- 対象:2024年1月1日から2024年12月31日に HackerOne で公開された脆弱性レポート
10位:Reflected XSS on Pangle Endpoint
- Vote: 170
- Severity: High
- Weakness: Cross-site Scripting (XSS) - Reflected
- Bounty: $5,000
この報告は、TikTok のエンドポイントで RXSS が可能という脆弱性でした。
9位:Remote vulnerabilities in spp
- Vote: 174
- Severity: High
- Weakness: Classic Buffer Overflow
- Bounty: $12,500
この報告は、PS4/PS5 のカーネルコンテキストで DoS や RCE を引き起こす可能性があるという脆弱性でした。
8位:SAML Signature verification bypass allows logging into any user (with specific conditions)
- Vote: 182
- Severity: Critical
- Weakness: Improper Access Control - Generic
- Bounty: $25,000
この報告は、GitHub の SAML 署名検証を回避することで、特定の条件付きで任意のユーザーにログイン可能という脆弱性でした。
7位:Change phone number OTP flaw leads to any phone number takeover
- Vote: 187
- Severity: Critical
- Weakness: Business Logic Errors
- Bounty: $2,000
この報告は、inDrive のアプリで他のユーザーに電話番号を追加することが可能で、OPT を回避できるという脆弱性でした。
6位:Insecure Direct Object Reference (IDOR) Allows Viewing Private Report Details via /bugs.json Endpoint
- Vote: 209
- Severity: Critical
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: Hidden
この報告は、HackerOne の JSON ファイルのエンドポイントにおいて、プライベートレポートに不正アクセスが可能という脆弱性でした。
5位:HackerOne SAML signup domain enforcement bypass results in unauthorized access to HackerOne PullRequest organization
- Vote: 212
- Severity: High
- Weakness: Improper Null Termination
- Bounty: Hidden
この報告は、HackerOne の SAML による新規サインアップ機能で、末尾の制御文字を使用することで Pull Request の組織に不正アクセス可能な脆弱性でした。
4位:Infromation Disclosure To Use of Hard-coded Cryptographic Key
- Vote: 277
- Severity: Medium
- Weakness: Use of Hard-coded Cryptographic Key
- Bounty: Hidden
この報告は、Reddit が公開している JavaScript のファイルに有効な Paypal のAPI Key がハードコードされていたという脆弱性でした。
3位:View Titles of Private Reports with pending email invitation
- Vote: 237
- Severity: High
- Weakness: Improper Access Control - Generic
- Bounty: $12,500
この報告は、HackerOne のプライベートレポートの招待メールが保留中の場合に、匿名ユーザーがレポートのタイトルを取得することが可能なという脆弱性でした。
2位:Stored-XSS-ads.tiktok.com
- Vote: 301
- Severity: Low
- Weakness: Cross-site Scripting (XSS) - Stored
- Bounty: Hidden
この報告は、TikTok のエンドポイントで Stored XSS が可能という脆弱性でした。
1位:Attachment disclosure via summary report
- Vote: 308
- Severity: Critical
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: Hidden
この報告は、HackerOne のレポートの概要を編集機能から、他のユーザーの添付ファイルにアクセス可能という脆弱性でした。
ランキング表
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 308 | IDOR | Hidden | link |
| 2 | 301 | XSS | Hidden | link |
| 3 | 237 | Improper Access Control | $12,500 | link |
| 4 | 227 | Hard-coded | Hidden | link |
| 5 | 212 | Improper Null Termination | Hidden | link |
| 6 | 209 | IDOR | Hidden | link |
| 7 | 187 | Business Logic Errors | $2,000 | link |
| 8 | 182 | Improper Access Control | $25,000 | link |
| 9 | 174 | Buffer Overflow | $12,500 | link |
| 10 | 170 | XSS | $5,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$25,000」でした。
4. その他
過去の HackerOne Most Popular Votes Top 10
2023年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 676 | IDOR | $15,000 | link |
| 2 | 392 | Improper Access Control | $750 | link |
| 3 | 360 | Remote File Inclusion | none | link |
| 4 | 351 | XSS | $5,000 | link |
| 5 | 346 | SSRF | $25,000 | link |
| 6 | 344 | Information Disclosure | $7,500 | link |
| 7 | 292 | SSRF | $6,000 | link |
| 8 | 284 | XSS | none | link |
| 9 | 283 | IDOR | none | link |
| 10 | 259 | IDOR | $13,950 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、HackerOne からの「$25,000」でした。
2022年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 441 | Improper Access Control | $10,000 | link |
| 2 | 300 | IDOR | $12,500 | link |
| 3 | 281 | Path Traversal | $29,000 | link |
| 4 | 268 | Command Injection | $33,510 | link |
| 5 | 263 | Command Injection | $33,510 | link |
| 6 | 260 | Command Injection | none | link |
| 7 | 255 | Privilege Escalation | $20,000 | link |
| 8 | 254 | Buffer Overflow | $10,000 | link |
| 9 | 235 | IDOR | $11,500 | link |
| 10 | 215 | IDOR | $20,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$33,510」でした。
バグバウンティ入門(始め方)
5. 終わりに (まとめ)
本稿では、2024年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、 HackerOne で最も人気投票が多かった Top 10 について紹介しました。
バグバウンティ初心者や開発者などは「Top 10 Vulnerability Types」の統計データより、以下のようなタイプの脆弱性がバグバウンティで発見されることが多いため、これらの脆弱性にフォーカスした学習や取り組みをすることで、よりバグバウンティに入門しやすいと思われます。
⭐︎Bug Bounty Top 3 Vulnerability Types
| Rank | Weakness |
|---|---|
| 1 | XSS (Reflected, Stored, DOM Based) |
| 2 | Information Disclosure |
| 3 | Improper Access Control, IDOR |
⭐︎バグバウンティでよく発見される脆弱性
- インジェクション
- XSS (Reflected, Stored, DOM Based)
- 被害者のブラウザ上で任意の JavaScript のコードを実行させることが可能な脆弱性。
- Top XSS reports from HackerOne
- Open Redirect
- 被害者を外部の Web サイトに自動的にリダイレクトさせることが可能な脆弱性。
- Top Open Redirect reports from HackerOne
- XSS (Reflected, Stored, DOM Based)
- 認可制御不備
- IDOR
- パラメーターやパス名などに含まれる ID を書き換えることで認可制御を回避し、機密情報の取得や改ざん処理などを実行することが可能な脆弱性。
- Top IDOR reports from HackerOne
- Improper Access Control
- 何かしらの認可制御を回避し、機密情報の取得や改ざん処理などを実行することが可能な脆弱性。
- IDOR
- 設定不備
- Information Disclosure
- 何かしらの設定不備により、機密情報が漏洩している指摘事項。
- Top Information Disclosure reports from HackerOne
- Information Disclosure
- ロジック不備
- Business Logic Errors
- アプリケーションにおけるロジックの不備により、仕様に反した行為をすることが可能な脆弱性。
- Top Business Logic reports from HackerOne
- Business Logic Errors
イベント「P3NFEST 2025 Winter」
3月15日に IssueHunt が主催する、学生のためのサイバーセキュリティカンファレンス「P3NFEST 2025 Winter」で、『実践的なバグバウンティ入門(2025年版)』というハンズオン講座の講師を担当します!
\#P3NFEST 現地参加者には、豪華賞品も✨/
— IssueHunt | バグバウンティとASPMを提供しています🦉 (@IssueHunt_jp) March 7, 2025
イベント当日では、会場でスタンプラリーを開催します。
参加者の景品として、「Razerのヘッドホン」をご用意しています‼️
そしてなんと...リクエストにお応えして...
現地参加枠の申込締切も3/12まで延期しておりますので、ぜひお申し込みください🔥… pic.twitter.com/z8bCkfQks2
ここまでお読みいただきありがとうございました。
バグバウンティにおけるJavaScriptファイルの監視ツールの事例
1. 始めに
こんにちは、morioka12 です。
本稿では、バグバウンティの脆弱性調査で使われている JavaScript ファイルの監視ツールについて少し紹介します。
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
2. バグバウンティにおける JavaScript ファイルの監視
バグバウンティにおいて、対象ドメインで動く JavaScript ファイルはとても重要なものです。
JavaScript Files are a gold mine for bug bounty hunters.
JavaScript ファイルは、バグバウンティハンターに取って金鉱である。(金が含んでいる鉱脈や鉱山)
一般的なバグバウンティハンターは、インターネット上で動く Web サイトや Web アプリケーションを対象に脆弱性調査を行う際に、偵察として JavaScript ファイルを収集したり解析したりします。
多くの初心者のバグバウンティハンターは、JavaScript ファイルの偵察や解析を疎かにすることがあり、 API のエンドポイントやパラメーターを見逃している可能性があります。
JavaScript ファイルを念入りに調査や解析をすることで、隠れたエンドポイントやパラメーター、DOM などを列挙することができ、隅々まで調査するために役立つことがよくあります。
さらに、優れたバグバウンティハンターは、特に大企業や大規模なプロダクトに対して JavaScript ファイルの監視を行っていることがあります。
JavaScript ファイルを監視することで、以下のようなメリットがあります。
- 新しく実装された新機能をいち早く確認することができる。
- 怪しい挙動がある既存の機能が変更された際に、いち早く検知して検証することができる。
- 大規模なプロダクトに対して、新しいエンドポイントやパラメーターを見逃すリスクを減らすことができる。
- 更新された JavaScript のコードの差分を記録し、実装の理解を深めて実際の挙動の調査に役立たせることができる。
- 新しく追加された JavaScript ファイルやコードに対して、いち早くハードコードされた機密情報がないかを検知することができる。
バグバウンティにおいて、一番初めに脆弱性を発見して報告した者のみが報酬金を獲得できるため、早い者勝ちという特徴あります。
そのため、このような JavaScript の監視は、有効的に有利になる場合があります。
ただし、JavaScript ファイルの監視には確認する負担があるため、主に報酬金の高い大企業や大きなプロダクト、お気に入りのバグバウンティプログラムの対象であるドメインに対して、ドメインを設定して Discord や Slack などに随時通知されるようにしているバグバウンティハンターが多い印象です。
3. JavaScript ファイルの監視ツール
JSWatch
JSWatch は、軽量で効率的な JavaScript ファイル監視ツールで、インターネット上の JavaScript ファイルの変更を追跡します。
stdout に書き出される markdown フォーマットで自動的に diff 生成を提供します。
DiffScript
DiffScript は、指定したウェブサイト上の JavaScript ファイルの変更を監視するために設計された Python スクリプトです。
JS ファイルの新旧バージョンを比較し、新しいエンドポイントを特定し、変更があれば Telegram メッセージング経由で警告を発します。
このスクリプトは、Webサイトで使用されている JavaScript の更新や変更を追跡する必要がある Web 開発者やセキュリティ研究者にとって特に便利です。
URL Tracker
URL Tracker は、URL を監視・追跡し、変更をログに記録し、様々なウェブリソースの状態と動作に関する詳細な洞察を提供するために設計された、堅牢でスケーラブルなウェブアプリケーションです。
Sails.js の上に構築されたこのアプリケーションは、アップタイム、コンテンツ変更、パフォーマンス監視のために URL を追跡するのに最適です。
JSMon
このスクリプトを使うことで、監視したいウェブサイトの JavaScript ファイルをいくつも設定できます。
このスクリプトを実行するたびに、これらのファイルがフェッチされ、以前にフェッチされたバージョンと比較されます。
ファイルが変更された場合、スクリプトへのリンク、変更されたファイルサイズ、変更を簡単に検査するための差分ファイルを含むメッセージが Telegram 経由で通知されます。
jsmon.sh
このツールは、すべての JS URL を自動的に追跡し、メール、Discord、または Slack 経由でレポートを送信します。
24時間365日の JS クロール、自動脅威検知、リアルタイム監視でお客様のドメインを保護します。
高度な保護ソリューションにより、安全性を維持し、脆弱性を検出し、中断のないパフォーマンスを保証します。
🚀Today onwards, you can monitor 1 domain for JS changes for free at https://t.co/10muV7aCT8. It tracks all JS URLs automatically and sends reports via Email, Discord, or Slack.
— encodedguy - jsmon.sh (@3nc0d3dGuY) February 3, 2025
We've removed the 1-week limit on the free plan—you can now monitor 1 domain indefinitely. The free… pic.twitter.com/dIrt1AehhY
BLACKBIRD
創設者による JS file を調査や監視する理由
JS Files are a gold mine for bug bounty hunters if you haven't noticed yet plus they're easy to examine & monitor (if you know how to)
— 0xblackbird (@0xblackbird) March 2, 2024
Here's why should and how
Small thread 👇 pic.twitter.com/yp4kwxkj9R
4. その他
Monitoring JS files to know first about new features feat.
Testing JavaScript files for bug bounty hunters
Blog「バグバウンティ入門(始め方)」
Blog「バグバウンティにおける JavaScript の静的解析と動的解析まとめ」
5. 終わりに
本稿では、バグバウンティの脆弱性調査で使われている JavaScript ファイルの監視ツールについて少し紹介しました。
ぜひ、外部視点であるバグハンターの一つのアプローチとして参考にしてみてください。
ここまでお読みいただきありがとうございました。
バグバウンティにおけるLLMの活用事例
1. 始めに
こんにちは、morioka12 です。
本稿では、バグバウンティの脆弱性調査で使われている LLM の活用事例について少し紹介します。
- 1. 始めに
- 2. LLM の活用事例
- 3. Recon
- 4. Browser Extension
- 5. Web Proxy Plugin
- 6. ChatGTP Plugin
- 7. 講演動画
- 8. その他
- 9. 終わりに
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
また、本稿は「2025年1月時点」の内容になります。
2. LLM の活用事例
バグバウンティにおいて、LLM の活用は少しずつ身近になってきている印象です。
今日のバグハンターは、主に以下のような使い方をしています。
- データの収集
- Recon: Subdomain, Directory, Parameter
- ソースコードの解析
- JavaScript File
- 脆弱性のスキャン
- ペイロードリストやワードリストの作成
- テストデータやエクスプロイトの作成
- 既存ツールの支援
- 典型的な脆弱性レポートの作成
- ...
SimonW「LLM」
ちなみに、シンプルに ChatGTP や Gemini などの対話型 AI を利用してコマンドライン上で良い感じに活用する場合は、以下の「LLM」というツールを用いることでコマンドライン上からプロンプトを実行したり、出力内容を保存して直接ファイルを書き込むことができます。
そのため、既存の様々な CLI ツールと組み合わせて、より効率的に活用できるようになります。
例えば、katana などのツールでクローリングした結果を分析したり、Eyeballer などのツールでスクリーンショットの画像を取得して分析したり、Google Dorks の結果を効率よく分析したりします。
また、JavaScript ファイルを分析して、エンドポイントを抽出したり、複雑な HTTP リクエストを構築したりすることで、効率的に活用することもできます。
# バグバウンティのヒント: AI を使って JavaScript ファイルから API エンドポイントを抽出し、複雑な HTTP リクエストを構築する。 複雑な JS ファイルを手作業で分析し、GET/POST リクエストを構築する方法がわからない?派手なツールは必要ありません! # 簡単なヒント: Chrome Dev Console から JS ファイルをコピーしてローカルに保存し、ChatGPT にアップロードします。 ## このプロンプトを使用します: 「この JavaScript ファイルを読んで、GET/POST エンドポイントを構築するのを手伝ってもらえますか?」 ## そして、次のような具体的なリクエストをお願いします: 「アップロードされた JavaScript ファイルに基づいて、生の HTTP 例で getUserDetails の API リクエストを構築するのを手伝ってもらえますか?"」 など、JavaScript ソースコード内で調べている機能に基づいて、同様の質問をします。 ## 結果 ChatGPTがAIコードレビューに基づいたパラメータでこれらの複雑なGET/POSTリクエストを構築し、一見不可能に見えることを可能にする結果に驚くことでしょう!🚀 この情報を得たら、IDOR、SQLi、CSRF、特権昇格、XSSなどをテストするために、クッキーを使ってエンドポイントを手動でテストし始めることができます。
Bug Bounty Tips: Extract API Endpoints and Construct Complex HTTP Requests from JavaScript Files Using AI
— Jayesh Madnani (@Jayesh25_) September 14, 2024
Stuck analyzing complex JS files while manually hunting on a target and can't figure out how to construct those GET/POST requests? 🤯 No fancy tools needed!
👉 Quick tip:…
3. Recon
CewlAI
CewlAI とは、Google の Gemini AI を利用して、シードドメインに基づいてドメインのバリエーション候補を作成するドメイン名の生成ツールです。
このツールは、ドメイン名のパターン認識と生成に焦点を当てて、サブドメインを推測し隠されたドメインを発見します。
Subwiz
Subwiz とは、超軽量な nanoGPT を利用して、潜在的なサブドメインを推測した上で有効なサブドメインを検知するツールです。
このツールは、ビームサーチのアルゴリズムを使用して、最も可能性の高い N 個のシーケンスを予測します。
ffufai
ffufai とは、OpenAI の ChatGTP や Anthropic の Claude AI model を利用して、ターゲットの URL や HTTP ヘッダーに基づいて、ファジングのためのファイルの拡張子を自動で提案するツールです。
Crawl4AI
Crawl4AI とは、LLM に対応した Web クローリングのツールです。
このツールは、LLM を使用して構造化データや関連コンテンツを Web ページから抽出することができます。
Athena
Athena とは、Internet Archive の膨大なデータを OpenAI のモデルを用いて分析と探索をするツールです。
このツールは、LLM によって Wayback Machine から Web ページのテキストを抽出したり、内容を要約したり、Web ページの変更履歴を分析したりなど、あらゆる高度な分析を実施することができます。
https://gist.github.com/haruki25/80881c64437de3e9c866ed75f5cad7f6
WARC-GPT
WARC-GPT とは、OpenAI API と Ollama が利用できて、それらを用いて Web Archives を実験的に検索や探索をすることができるツールです。
4. Browser Extension
Nuclei AI Extension
Nuclei AI Extension とは、Nuclei のテンプレートを迅速に生成するブラウザの拡張機能です。
5. Web Proxy Plugin
Shift (Caido)
Shift とは、プロキシ内の機能や中身に対して、命令文を入力するだけで自動的に操作する Caido のプラグインです。
例えば、Intercept の内容を自動で編集したり、一致置換ルールを作成したり、リクエストとレスポンスからワードリストを生成させたり、レスポンスのボディ内容からリクエストのパラメーターの型を生成したり、API エンドポイントに含む JavaScript の分析させたりなど、様々なことを自動的に操作することができます。
🎉 Announcing ⇧Shift - The Cursor of Hacking @Rhynorater and I have been cooking up an awesome AI hacking tool and releasing it to beta testers starting today.
— Joseph Thacker (@rez0__) December 5, 2024
⇧ Shift is a Caido plugin that makes hacking faster and easier so you can make more money in less time.
Read on 👇 pic.twitter.com/uBuSyBJEgZ
🎉 I pushed an INSANE update to ↑Shift last night
— Joseph Thacker (@rez0__) January 28, 2025
- 2m tokens instead of 1m
- Editing works in intercept and automate now
- AND one weak point was editing large requests. It was slow. Now it's quicker and smarter...
if you're a hacker/pentester/bug hunter, check this out: pic.twitter.com/GheFmdS5qH
Caido403Bypasser (Caido)
Caido403Bypasser とは、カスタムテンプレートを利用して、HTTP リクエストを変換させることで403 ステータスのリクエストを回避するスキャンを実行する Caido のプラグインです。
このツールは、組み込み AI を利用して、カスタムテンプレートを効率よく生成させることができます。
🚀 New Plugin Alert!
— Caido (@CaidoIO) September 19, 2024
"403Bypasser" by @bebiksior is now available in the Plugin Store!
Bypass 403 status codes by transforming HTTP requests with custom templates.https://t.co/LK7CwvNHIx pic.twitter.com/VxxqpA1Gld
BurpGPT (Burp Suite)
BurpGPT とは、従来のスキャナーが見逃す可能性があった脆弱性を AI の利用して検出する Burp Suite の拡張機能です。
Add: Montoya API (Burp Suite)
このリリースでは、Montoya API に AI サポートが導入され、よりスマートな AI 搭載の拡張機能を構築できるようになりました。
また、Bambda を保存および再利用するための Bambda ライブラリと、拡張機能の開発を効率化するためのすぐに使用できる拡張機能スターター プロジェクトも追加されました。Montoya API に組み込みの AI サポートを追加しました。
拡張機能は、PortSwigger の専用 AI プラットフォームを介して大規模言語モデル (LLM) と安全にやり取りできるようになり、複雑なセットアップや外部 API キーを必要とせずに高度な自動化機能やデータ分析機能を構築できるようになりました。
Welcome to the next evolution of Burp Suite… 🚀 #BurpAI pic.twitter.com/6ZjhrjS3U0
— Burp Suite (@Burp_Suite) February 13, 2025
Hackvertor
- リピーターから学習します。Hackvertor はリピーター リクエストからエンコーディングを学習し、Python カスタム タグを自動的に生成します。 - カスタム コード タグを要約します。カスタム タグが作成されると、Hackvertor は AI を使用してその内容を要約します。 - AI カスタム タグ。カスタム タグでプロンプトを使用できるようになりました。 - AI を使用してコードを生成します。Hackvertor は、入力/出力と指示を与えるとカスタム タグを生成します。
※2025年2月13日にリリースされたため追記しました。(詳細は、後日検証した後に記載します。)
6. ChatGTP Plugin
PentestGPT
Bug Hunter GPT
Bounty Plz
7. 講演動画
Bug Bounty Village 2024「Leveraging AI for Smarter Bug Bounties」
本講演は、バグバウンティやペンテストのワークフローを補強するために設計された AI エージェントの研究開発プロセスについて、掘り下げて話します。
私たちの AI エージェントは、単なる論理的な概念ではなく、セキュリティ研究者の効率性と有効性を高めることを目的とした実用的なツールです。
NahamCon2024「Practical AI for Bounty Hunters」
現在、AI に関する話題が盛り上がっています。
Jason Haddix (@jhaddix) が、すべての BS を一蹴して、AI を使って今すぐ賞金稼ぎを強化する 5 つの実用的な方法を紹介します。
Jason は、偵察、JavaScript 分析、脆弱性検出、ペイロード生成、レポート作成のための AI について説明します。
NahamCon2023「Context + Questions: How GPT-based AI Will Disrupt Security」
@DanielMiessler が発表した 27 分間のディスカッションでは、人工知能、特に GPT モデルがサイバー セキュリティの状況に革命を起こす方法について掘り下げます。
講演者が AI とサイバー セキュリティの交差点を考察する中で、倫理的ハッキング、バグ報奨金プログラム、情報セキュリティの将来について貴重な洞察を得ることができます。
GPT ベースの AI がセキュリティ プラクティスにますます統合されるにつれて生じる課題と機会について学び、この技術的進歩がレッド チーム オペレーションと Web アプリケーション セキュリティをどのように変える可能性があるかを理解します。
GOTO 2024「AI-Powered Bug Hunting」
このセッションでは、バグバウンティハンティングの実際の例を使用して、攻撃的なセキュリティと倫理的なハッキングの世界について垣間見ることができます。
企業のインフラストラクチャを脅かしたり、顧客の個人情報を利用して企業を攻撃したりする、最新の Web アプリケーションの重大な脆弱性について検討します。
さらに、AI がハッキング プロセスで貴重なコンパニオンとして機能し、セキュリティ上の欠陥を効果的に特定して対処するためのアイデアやソリューションを生み出すのに役立つ方法について説明します。
8. その他
HackerOne Blog「How AI Is Shaping the Future of Vulnerability Discovery」
Vulnhuntr: Autonomous AI Finds First 0-Day Vulnerabilities in Wild
Blog「バグバウンティ入門(始め方)」
9. 終わりに
本稿では、バグバウンティの脆弱性調査で使われている LLM の活用事例について少し紹介しました。
今回はあくまでバグバウンティ業界で使われている無料ツールをメインに取り上げましたが、AI/ML によるペンテストツールや有料サービスなどは既に多数存在しています。
今後も多くのアイディアのもとにツールや活用事例が増えていくと思われるため、ぜひウォッチしたり自作してみてください。
ここまでお読みいただきありがとうございました。
「Bug Bounty JP Podcast」の2024年振り返りまとめ
1. 始めに
こんにちは、morioka12 です。
本稿では、ポッドキャスト「Bug Bounty JP Podcast」の2024年振り返りをまとめて紹介します。
2. 「Bug Bounty JP Podcast (BBJP_Podcast)」とは
「Bug Bounty JP Podcast」とは、バグバウンティなどを対象にバグハントすることを趣味とするメンバーによる、セキュリティ雑談のポッドキャストです。
- 公式 X アカウント:Bug Bounty JP Podcast (@bbjppodcast)
- ハッシュタグ:#BBJP_Podcast
バグバウンティ(Bug Bounty)とは、企業が自社のシステムやサービスの脆弱性を発見した人に報奨金を支払う制度のことです。
・脆弱性:サイバーセキュリティ上の欠陥のこと
・バグハンター:脆弱性を探す人のこと
BBJP_Podcast は、2024年2月から始動して、日本人バグハンターの3人があえてニッチ寄りな内容で、約1時間のトークを月1で収録と公開をしています。
- スピーカー
- morioka12 (@scgajge12)
- mokusou (@Mokusou4)
- RyotaK (@ryotkak)
また、トークで取り上げる主なテーマは、以下になります。
- スピーカーメンバーの取り組みなどについて
- 最近面白かった脆弱性やトレンドになったセキュリティネタについて
- バグバウンティについて
- リスナーからの質問について
身近でバグバウンティやっている人と一緒に雑談する「Bug Bounty JP Podcast」というポッドキャストを始めます!
— morioka12 (@scgajge12) February 13, 2024
Bug Bounty JP Podcast #BBJP_Podcasthttps://t.co/FBAQhYLwNi
ポッドキャスト配信
現在は、4つのプラットフォームで配信しています。
Spotify for Creators
Podcast on Spotify
Apple Podcast
Amazon Music
Web ページ
bugbountyjppodcast.notion.site
コミュニティサーバー (リスナー向け)
#BBJP_Podcast のリスナーからのご要望もあり、「Bug Bounty JP Podcast」のコミュニティサーバー(Discord)を用意しました!
— morioka12 (@scgajge12) August 22, 2024
リスナー向け(バグバウンティに興味ある・取り組んでいる人)の交流の場としてご活用ください。
→入りたい方は @scgajge12 宛に Reply or DM or メールをください。🙏
3. 2024年の記録 (1年目)
エピソード
2024年は、2月から始動して合計「11話」を公開しました。
特にバグバウンティに興味を持ち始めた方には、第3回や第7回がおすすめの回でした。
| Date | Title |
|---|---|
| 2024-12-31 | BBJP_Podcast #11 |
| 2024-11-30 | BBJP_Podcast #10 |
| 2024-10-31 | BBJP_Podcast #9 |
| 2024-09-30 | BBJP_Podcast #8 |
| 2024-08-29 | BBJP_Podcast #7 |
| 2024-07-31 | BBJP_Podcast #6 |
| 2024-06-30 | BBJP_Podcast #5 |
| 2024-05-28 | BBJP_Podcast #4 |
| 2024-04-30 | BBJP_Podcast #3 |
| 2024-03-26 | BBJP_Podcast #2 |
| 2024-02-22 | BBJP_Podcast #1 |
フォロワー
メインで配信している Spotify のフォロワー数は、ついに「500人」を超え、現時点で「 503人」になりました。
特に、トップファンで聞いてくださっているリスナーは、12月頭の時点で「217人」もいるそうです。
BBJP_Podcast は、一般ウケする内容というよりはあえて少しニッチ寄りで、バグハンターのスピーカー同士が盛り上がれる話題を取り上げてそれぞれの視点で話したり雑談をしているため、当初の想定以上にリスナーがいる印象で嬉しい限りです。
「Bug Bounty JP Podcast」の Spotify のフォロワーが500人を超えました! #BBJP_Podcast pic.twitter.com/ADQ7YDDDGe
— Bug Bounty JP Podcast (@bbjppodcast) December 28, 2024
海外リスナー
BBJP_Podcast は、日本語コンテンツとして配信しているため、リスナーの95%は日本の方が聞いてくださっていますが、残りの5%は海外の方が聞いてくださっているようです。(Spotify の分析データより)
最近では、海外のバグハンターの方が日本語のリスニングの勉強として聞いてくださっている方が複数人いることを知り、とても驚きました。
日本語が話せる人にあんまりフォローされていないかも知らないけどいる人はやっぱりいるから下記のすごいポッドキャストについて何かをツイートしようと思った。
— Justin Gardner (@Rhynorater) February 26, 2024
将来のエピソードを楽しみー:https://t.co/soy7A9Dlci
No thanks buddy i am eager to hear you guys as well .🙌🏻 I am working on that code using python i will try my best
— KausTubh PaTil (@iamrealkaustubh) May 1, 2024
Miraa+ Podcast,日本語練習₍˄·͈༝·͈˄*₎◞ ̑̑ pic.twitter.com/HS52hqxVze
— 暗羽喵𝓭𝓪𝓻𝓴𝔀𝓲𝓷𝓰_𝓷𝔂𝓪 (@darkwing_nya) September 24, 2024
Spotifyまとめ
- トップファンの数:217人
- Spotifyチャートでの最高順位:80位
- リスナーの年齢層:18~24歳→21%, 25~29歳→34%, 30~34歳→20%
- リスナーが他に聞いてた番組:ゆる言語学ラジオ, Rebuild, セキュリティのアレ
- リスナーの地域:19ヶ国
「Bug Bounty JP Podcast」の #Spotifyまとめ が公開されました!
— Bug Bounty JP Podcast (@bbjppodcast) December 5, 2024
今年の2月から月1で始めて、いつもありがとうございます! #BBJP_Podcast #Spotifyまとめ2024 pic.twitter.com/7ZQXJmrZpi
ポッドキャストランキング
4. その他
リスナー向けの質問箱
Google Formにて、随時リスナーから質問を募集しています。
また、過去の質問内容は、Web ページの Q&Aに記載しています。
いただいた質問内容は、ポッドキャストのエピソード内で最後の方に取り上げています。
主にいただく質問の概要は、以下になります。
- バグバウンティ全般の質問
- バグハンターのスキルに関する質問
- バグバウンティにおける脆弱性に関する質問
- バグバウンティにおけるツールに関する質問
プチ調査
【プチ調査】
— Bug Bounty JP Podcast (@bbjppodcast) October 20, 2024
バグバウンティ(Bug Bounty)について
外部紹介「YouTubeショート」
登録者数「7.73万人」の YouTube チャンネル「直也テック」にて、BBJP_Podcast の紹介をしているショート動画がありました。ありがとうございました!
- https://youtu.be/5_MqurDUqv0
- ハッカーの友だちがいない人向けのハッキング勉強法
5. 終わりに
本稿では、ポッドキャスト「Bug Bounty JP Podcast」の2024年振り返りをまとめて紹介しました。
ぜひ、作業中やバグハント中などに聞いていただけると幸いです。
プチ予告
来年の2年目からは、スピーカーの3人に合わせてゲストスピーカーを招待して、4人でトークする回も設けていく予定です。お楽しみに!
ここまでお読みいただきありがとうございました。
2024年の振り返り
1. 始めに
こんにちは、morioka12 です。
今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介します。
2. タイムライン
覚えている範囲で、メインに取り組んでいたことを時系列ごとにまとめてみます。
- 1 ~ 3月:学生 (4年次)
- 4 ~ 12月:社会人 (新卒1年目)
1月
- Web3 のセキュリティについて少し勉強し始めた (特にバグバウンティ周り)
- ブログ「新卒の学生によるセキュリティエンジニア志望の就活話」を書いた
- ブログ「CTF Cloud 問題の攻撃手法まとめ(2023年版)」を書いた
- ブログ「バグバウンティにおける XSS の具体的な脅威の事例まとめ」を書いた
- ブログ「オフェンシブ視点による Cloud Security 入門 〜AWS 編〜」を書いた
- CVE ID を2件取得した
- バグバウンティを対象に脆弱性調査していた
- 学校の卒業研究のまとめをした
2月
- バグバウンティを対象に脆弱性調査していた
- 特に CVSS Score 9.8 の Critical な脆弱性が2件 Accept できた
- ポッドキャスト「Bug Bounty JP Podcast」を始めた (月1収録)
- 学校で卒業研究発表会があった
- イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
- ブログ「ポッドキャスト「Bug Bounty JP Podcast」始めました」を書いた
- バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)
3月
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- ブログ「JAWS DAYS 2024の参加記(学生登壇)」を書いた
- AWS にある「AWS Community Builders」のセキュリティ部門に選出された
- ブログ「AWS Community Builderに選出された話」を書いた
- 学校の卒業式があった
- 書籍の執筆をしていた
- バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)
4月
- 新卒の入社式があった
- 1ヶ月間の新卒研修があった
- (取材・講演・登壇の依頼をいっぱい貰った)
5月
- 講義のスライドを作成していた
- Webメディア「レバテックLAB」のインタビュー取材を受けた
- ブログ「学生中に取得した CVE ID まとめ」を書いた
- ブログ「Intigriti Q1 2024 の成績」を書いた
- ブログ「NahamCon 2024 簡単まとめ」を書いた
6月
- 講義のスライドを作成していた
- 大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した
- イベント「SecHack365 第1回イベント(オンライン)」に全体アシスタントとして参加した
- イベント「AWS Summit Japan」に参加した
- イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
- イベント「CMC_Central 2024」のパネルディスカッションに登壇した
7月
- 登壇のスライドを作成していた
- ブログ「インタビュー記事「バグバウンティに取り組む理由とその醍醐味」」を書いた
- イベント「ISC2 Japan Chapter 勉強会」に登壇した
- イベント「Hack Fes. 2024」に登壇した
- イベント「SecHack365 第2回イベント(東京)」に全体アシスタントとして参加した
- ブログ「Bug Bounty Village 概要まとめ (2024)」を書いた
- ブログ「バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube編)」を書いた
8月
- 登壇と講義のスライドを作成していた
- イベント「JAWS PANKRATION 2024」に登壇した
- イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした
登壇系が少し一段落しましたが、新卒1年目にしては色々と良い経験になった気がします。
— morioka12 (@scgajge12) September 4, 2024
ありがとうございました!
引き続き9月以降もまだある諸々に取り組み、今後は自己研究テーマとバグバウンティをメインにちゃんと再開して励むようにします。 pic.twitter.com/pephAa4wzn
9月
- ブログ「P3NFEST 2024 Summer のハンズオン講座に関する開催記(実践的なバグバウンティ入門)」を書いた
- イベント「SecHack365 第3回イベント(広島)」に全体アシスタントとして参加した
- 会社で社外向けイベントの企画運営や司会進行を担当した
- 自分のキャリアについて色々と再度考え始めた
- バグハンティングの Tips を整理した
10月
- 「セキュリティ若手の会」というコミュニティを立ち上げた
- イベント「IssueHunt Lounge#7 P3NFESTお礼の会&サイバーセキュリティ交流会」に参加した
- (パネルディスカッションのモデレーターを担当した)
- バグバウンティを対象に脆弱性調査していた
- バグハンティングの Tips を整理した
11月
- 「セキュリティ若手の会」の第1回イベントの準備などを進めた
- イベント「SecHack365 第4回イベント(大阪)」に全体アシスタントとして参加した
- 会社で秋のインターンを開催してメンターを担当した
12月
- イベント「Flatt Security Beer Bash #1」に参加した
- イベント「第1回 セキュリティ若手の会(LT&交流会)」を主催した
- イベント「SecHack365 Returns」に参加した
- イベント「IssueHunt Lounge#8 CISO・CTO大忘年会」に若手枠で参加した
- ブログ「「Bug Bounty JP Podcast」の2024年振り返りまとめ」を書いた
- バグハンティングの Tips を整理した
3. ブログ執筆
ブログは、合計「15件」の記事を書いていました。
今年は、あまり凝ったブログは書けなかった印象で、来年以降は何か凝ったブログを書ければ良いなと思っています。
特に反響があった記事は、以下になります。
4. 外部活動
- 登壇:6件
- 講義:2件
- インタビュー:1件
- その他:数回
登壇
登壇は、主に「6件」のイベントで登壇しました。
- イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
- 「学生と語る、サイバーセキュリティの未来」
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- 「次世代への種を蒔こう〜学生と社会人との交差点として、JAWS-UGができること〜」
- イベント「CMC_Central 2024」のパネルディスカッションに登壇した
- 「新卒メンバーに聞く!ぶっちゃけ、学生から見てコミュニティってどうだった?」
- イベント「ISC2 Japan Chapter 勉強会」に登壇した
- 「クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜」
- イベント「Hack Fes. 2024」に登壇した
- 「バグバウンティ入門 〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜」
- イベント「JAWS PANKRATION 2024」に登壇した
- 「Threats and countermeasures in AWS environments from an Attacker’s perspective」
最後のセッション!はせがわようすけさん(モデレーター)、森岡さん、松本さん、シークレットゲストさんにご登壇いただき、「学生×サイバーセキュリティ」でお話いただきます#P3NFEST2024 pic.twitter.com/sHiIxT5KDa
— Kazz Yokomizo | IssueHunt (@kazzyokomizo) February 17, 2024
ISC2 Japan Chapter勉強会 2024/07
— morioka12 (@scgajge12) July 10, 2024
「クラウドセキュリティ入門 〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜」https://t.co/dDuPttYpJQ
クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜 - Speaker Deck
講義
講義は、主に「2件」のイベントで講師をしました。
- イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
- 「CVEから学ぶWebアプリケーションのバグハント入門」
- イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした
- 「実践的なバグバウンティ入門」
GMOサイバーセキュリティ byイエラエ株式会社 森岡 優太氏による、「CVEから学ぶWebアプリケーションのバグハント入門」です。OSSの既知の脆弱性を題材に、Webアプリケーションのバグハントについてハンズオン形式で学んでいます。後半では、CVE取得までの一連の流れについても体験します。 #seccamp pic.twitter.com/IOYxRFRITZ
— セキュリティ・キャンプ (@security_camp) June 22, 2024
P3NFEST 2024 Summer のハンズオン講座『実践的なバグバウンティ入門』の一般公開用スライドを公開しました! (非公開部分あり)#P3NFESThttps://t.co/8QGiyo8yI4
— morioka12 (@scgajge12) August 31, 2024
詳細は、以下をご覧ください。
インタビュー
インタビューは、Webメディアの「レバテックLAB」で日本人バグハンターとしてのインタビューを受けました。
- その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味
コミュニティ
JAWS-UG
JAWS (AWS User Group – Japan)は、「2件」のイベントに登壇者として参加しました。
また、学生中に「AWS Community Builders (Security & Identity Builder since 2024)」としても選出されました。
- AWS にある「AWS Community Builders」のセキュリティ部門に選出された
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- イベント「JAWS PANKRATION 2024」に登壇した
この度 AWS Community Builder に選出されました!!
— morioka12 (@scgajge12) March 4, 2024
カテゴリーは Security and Identity です!#AWSCommunity #AWSCommunityBuilders pic.twitter.com/y5psEw9fNe
This is my slide from presentation at JAWS PANKRATION 2024. (No. TT-60)
— morioka12 (@scgajge12) August 24, 2024
Thank you.#jawsug #jawspankration #jawspankration2024 https://t.co/fc4rBCHYdH
Threats and Countermeasures in AWS Environmentsfrom an Attacker’s Perspective - Speaker Deck
Bug Bounty JP Podcast (Host)
今年の2月から日本人バグハンターの3人で、ポッドキャスト「Bug Bounty JP Podcast (BBJP_Podcast)」を始動しました。
「Bug Bounty JP Podcast (@BBJP_Podcast)」とは、バグバウンティなどを対象にバグハントすることを趣味とするメンバーによる、セキュリティ雑談のポッドキャストです。
月1で収録とエピソードの公開をしていて、Spotify のフォロワー数が「503人」までなりました。
身近でバグバウンティやっている人と一緒に雑談する「Bug Bounty JP Podcast」というポッドキャストを始めます!
— morioka12 (@scgajge12) February 13, 2024
Bug Bounty JP Podcast #BBJP_Podcasthttps://t.co/FBAQhYLwNi
「Bug Bounty JP Podcast」の #Spotifyまとめ が公開されました!
— Bug Bounty JP Podcast (@bbjppodcast) December 5, 2024
今年の2月から月1で始めて、いつもありがとうございます! #BBJP_Podcast #Spotifyまとめ2024 pic.twitter.com/7ZQXJmrZpi
詳細は、以下をご覧ください。
セキュリティ若手の会 (Host)
今年の10月に「セキュリティ若手の会」というコミュニティを2人で立ち上げました。
「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手エンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
そして、12月には第1回イベント「第1回 セキュリティ若手の会(LT&交流会)」も主催しました。
x.comこの度、「セキュリティ若手の会」というコミュニティを @4su_para と @scgajge12 で立ち上げました!
— セキュリティ若手の会 (@sec_wakate) October 5, 2024
セキュリティに興味がある学生や若手セキュリティエンジニアの方は、ぜひ X (@sec_wakate)と connpass をフォローしてください〜!
ハッシュタグ:#sec_wakate
5. バグハンティング
バグバウンティ
バグバウンティは、特に2月に取り組むことができ、初めて四半期ランキングで17位になり、受賞することができました。
また、Critical な脆弱性も複数件報告することができ、良い感じに楽しく取り組めていました。
ですが、4月以降が思ったより外部イベントの依頼などでタスクが膨れ上がり、あまり取り組めなかったのが残念でした...。
- バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)
- バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)
- 大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した
I ranked 6th on @intigriti leaderboard for February 2024. #HackWithIntigriti
— morioka12 (@scgajge12) March 1, 2024
- Accepted: 25 reports
I will continue to enjoy Bug Bounty! pic.twitter.com/TbFxYG2srP
In 2024 Q1 Leaderboard I am 17th place on @intigriti .
— morioka12 (@scgajge12) April 4, 2024
Thanks for the voucher.#HackWithIntigriti pic.twitter.com/5vjyTmnMMe
Just scored a reward @intigriti . #HackWithIntigriti
— morioka12 (@scgajge12) February 6, 2024
I'm very happy that the two "Exceptional" vulnerabilities (9.8) I reported were approved. pic.twitter.com/RQQRXyVakY
The results are in!🥇
— HackerOne (@Hacker0x01) July 30, 2024
Congratulations to these 32 teams who will move on to the Group Round of the 2024 #AmbassadorWorldCup! 🙌
The next round kicks off at the end of August! Stay tuned for the latest info, and read more about the AWC here. https://t.co/ZKBzjgwKWv pic.twitter.com/aKFpKxn0FN
CVE
CVE は「2件」取得しました。(だいぶ前に報告したものに発行された模様)
- CVE-2024-23348
- CWE-20: Improper Input Validation
- CVE-2024-23782
- CWE-79: Cross-site Scripting
6. その他
プライベート
プライベート周りは、今年も充実した1年だったと思います。
また、ディズニー好きということもあり、今年はディズニーリゾートに「8回」遊びに行きました。
(詳細は、Facebook の方でつぶやきます。)
過去の振り返りブログ
過去の振り返りブログは、以下にまとめてあります。
7. 終わりに
今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介しました。
今年は社会人1年目ということもあり、本業にもしっかりと取り組みつつ、外部活動では有難いことに色々な機会を得ることができました。
想定より少し多忙でしたが、ありがとうございました。
来年の抱負
- 本業で新しいことにチャレンジする。
- バグバウンティに継続的に取り組み、実績も作る。
- 立ち上げたコミュニティ周りも継続する。
- 新しい分野のインプットをする。
- プライベートの時間もしっかりと充実させる。
来年も新しいことにチャレンジしつつ、外部活動は少し引き受ける数を減らして落ち着ければと思っています。
2025年も、どうぞよろしくお願い致します!
ここまでお読みいただきありがとうございました。
