1. 始めに

こんにちは、morioka12 です。

本稿では、ポッドキャスト「Bug Bounty JP Podcast」の2024年振り返りをまとめて紹介します。

2. 「Bug Bounty JP Podcast (BBJP_Podcast)」とは

「Bug Bounty JP Podcast」とは、バグバウンティなどを対象にバグハントすることを趣味とするメンバーによる、セキュリティ雑談のポッドキャストです。

公式 X アカウント：Bug Bounty JP Podcast (@bbjppodcast)
- ハッシュタグ：#BBJP_Podcast

バグバウンティ(Bug Bounty)とは、企業が自社のシステムやサービスの脆弱性を発見した人に報奨金を支払う制度のことです。
・脆弱性：サイバーセキュリティ上の欠陥のこと
・バグハンター：脆弱性を探す人のこと

BBJP_Podcast は、2024年2月から始動して、日本人バグハンターの3人があえてニッチ寄りな内容で、約1時間のトークを月1で収録と公開をしています。

スピーカー
- morioka12 (@scgajge12)
- mokusou (@Mokusou4)
- RyotaK (@ryotkak)

また、トークで取り上げる主なテーマは、以下になります。

スピーカーメンバーの取り組みなどについて
最近面白かった脆弱性やトレンドになったセキュリティネタについて
バグバウンティについて
リスナーからの質問について

ポッドキャスト配信

現在は、4つのプラットフォームで配信しています。

コミュニティサーバー (リスナー向け)

#BBJP_Podcast のリスナーからのご要望もあり、「Bug Bounty JP Podcast」のコミュニティサーバー(Discord)を用意しました！

リスナー向け(バグバウンティに興味ある・取り組んでいる人)の交流の場としてご活用ください。

→入りたい方は @scgajge12 宛に Reply or DM or メールをください。🙏
— morioka12 (@scgajge12) August 22, 2024

3. 2024年の記録 (1年目)

エピソード

2024年は、2月から始動して合計「11話」を公開しました。

特にバグバウンティに興味を持ち始めた方には、第3回や第7回がおすすめの回でした。

Date	Title
2024-12-31	BBJP_Podcast #11
2024-11-30	BBJP_Podcast #10
2024-10-31	BBJP_Podcast #9
2024-09-30	BBJP_Podcast #8
2024-08-29	BBJP_Podcast #7
2024-07-31	BBJP_Podcast #6
2024-06-30	BBJP_Podcast #5
2024-05-28	BBJP_Podcast #4
2024-04-30	BBJP_Podcast #3
2024-03-26	BBJP_Podcast #2
2024-02-22	BBJP_Podcast #1

フォロワー

メインで配信している Spotify のフォロワー数は、ついに「500人」を超え、現時点で｢ 503人｣になりました。

特に、トップファンで聞いてくださっているリスナーは、12月頭の時点で「217人」もいるそうです。

BBJP_Podcast は、一般ウケする内容というよりはあえて少しニッチ寄りで、バグハンターのスピーカー同士が盛り上がれる話題を取り上げてそれぞれの視点で話したり雑談をしているため、当初の想定以上にリスナーがいる印象で嬉しい限りです。

「Bug Bounty JP Podcast」の Spotify のフォロワーが500人を超えました！ #BBJP_Podcast pic.twitter.com/ADQ7YDDDGe
— Bug Bounty JP Podcast (@bbjppodcast) December 28, 2024

海外リスナー

BBJP_Podcast は、日本語コンテンツとして配信しているため、リスナーの95%は日本の方が聞いてくださっていますが、残りの5%は海外の方が聞いてくださっているようです。(Spotify の分析データより)

最近では、海外のバグハンターの方が日本語のリスニングの勉強として聞いてくださっている方が複数人いることを知り、とても驚きました。

日本語が話せる人にあんまりフォローされていないかも知らないけどいる人はやっぱりいるから下記のすごいポッドキャストについて何かをツイートしようと思った。

将来のエピソードを楽しみー:https://t.co/soy7A9Dlci
— Justin Gardner (@Rhynorater) February 26, 2024

No thanks buddy i am eager to hear you guys as well .🙌🏻 I am working on that code using python i will try my best
— KausTubh PaTil (@iamrealkaustubh) May 1, 2024

Miraa+ Podcast,日本語練習₍˄·͈༝·͈˄*₎◞ ̑̑ pic.twitter.com/HS52hqxVze
— 暗羽喵𝓭𝓪𝓻𝓴𝔀𝓲𝓷𝓰_𝓷𝔂𝓪 (@darkwing_nya) September 24, 2024

Spotifyまとめ

トップファンの数：217人
Spotifyチャートでの最高順位：80位
リスナーの年齢層：18~24歳→21%, 25~29歳→34%, 30~34歳→20%
リスナーが他に聞いてた番組：ゆる言語学ラジオ, Rebuild, セキュリティのアレ
リスナーの地域：19ヶ国

「Bug Bounty JP Podcast」の #Spotifyまとめが公開されました！
今年の2月から月1で始めて、いつもありがとうございます！ #BBJP_Podcast #Spotifyまとめ2024 pic.twitter.com/7ZQXJmrZpi
— Bug Bounty JP Podcast (@bbjppodcast) December 5, 2024

ポッドキャストランキング

podcastranking.jp

4. その他

リスナー向けの質問箱

Google Formにて、随時リスナーから質問を募集しています。

また、過去の質問内容は、Web ページの Q&Aに記載しています。

いただいた質問内容は、ポッドキャストのエピソード内で最後の方に取り上げています。

主にいただく質問の概要は、以下になります。

バグバウンティ全般の質問
バグハンターのスキルに関する質問
バグバウンティにおける脆弱性に関する質問
バグバウンティにおけるツールに関する質問

forms.gle

プチ調査

【プチ調査】
バグバウンティ(Bug Bounty)について
— Bug Bounty JP Podcast (@bbjppodcast) October 20, 2024

外部紹介「YouTubeショート」

登録者数「7.73万人」の YouTube チャンネル「直也テック」にて、BBJP_Podcast の紹介をしているショート動画がありました。ありがとうございました！

https://youtu.be/5_MqurDUqv0
- ハッカーの友だちがいない人向けのハッキング勉強法

youtu.be

5. 終わりに

本稿では、ポッドキャスト「Bug Bounty JP Podcast」の2024年振り返りをまとめて紹介しました。

ぜひ、作業中やバグハント中などに聞いていただけると幸いです。

プチ予告

来年の2年目からは、スピーカーの3人に合わせてゲストスピーカーを招待して、4人でトークする回も設けていく予定です。お楽しみに！

ここまでお読みいただきありがとうございました。

2024-12-27

2024年の振り返り

振り返り

1. 始めに

こんにちは、morioka12 です。

今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介します。

2. タイムライン

覚えている範囲で、メインに取り組んでいたことを時系列ごとにまとめてみます。

1 ~ 3月：学生 (4年次)
4 ~ 12月：社会人 (新卒1年目)

1月

Web3 のセキュリティについて少し勉強し始めた (特にバグバウンティ周り)
ブログ「新卒の学生によるセキュリティエンジニア志望の就活話」を書いた
ブログ「CTF Cloud 問題の攻撃手法まとめ(2023年版)」を書いた
ブログ「バグバウンティにおける XSS の具体的な脅威の事例まとめ」を書いた
ブログ「オフェンシブ視点による Cloud Security 入門〜AWS 編〜」を書いた
CVE ID を2件取得した
バグバウンティを対象に脆弱性調査していた
学校の卒業研究のまとめをした

2月

バグバウンティを対象に脆弱性調査していた
- 特に CVSS Score 9.8 の Critical な脆弱性が2件 Accept できた
ポッドキャスト「Bug Bounty JP Podcast」を始めた (月1収録)
学校で卒業研究発表会があった
イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
ブログ「ポッドキャスト「Bug Bounty JP Podcast」始めました」を書いた
バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)

3月

イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
ブログ「JAWS DAYS 2024の参加記(学生登壇)」を書いた
AWS にある「AWS Community Builders」のセキュリティ部門に選出された
ブログ「AWS Community Builderに選出された話」を書いた
学校の卒業式があった
書籍の執筆をしていた
バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)

4月

新卒の入社式があった
1ヶ月間の新卒研修があった
(取材・講演・登壇の依頼をいっぱい貰った)

5月

講義のスライドを作成していた
Webメディア「レバテックLAB」のインタビュー取材を受けた
ブログ「学生中に取得した CVE ID まとめ」を書いた
ブログ「Intigriti Q1 2024 の成績」を書いた
ブログ「NahamCon 2024 簡単まとめ」を書いた

6月

講義のスライドを作成していた
大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した
イベント「SecHack365 第1回イベント(オンライン)」に全体アシスタントとして参加した
イベント「AWS Summit Japan」に参加した
イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
イベント「CMC_Central 2024」のパネルディスカッションに登壇した

7月

登壇のスライドを作成していた
ブログ「インタビュー記事「バグバウンティに取り組む理由とその醍醐味」」を書いた
イベント「ISC2 Japan Chapter 勉強会」に登壇した
イベント「Hack Fes. 2024」に登壇した
イベント「SecHack365 第2回イベント(東京)」に全体アシスタントとして参加した
ブログ「Bug Bounty Village 概要まとめ (2024)」を書いた
ブログ「バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube編)」を書いた

8月

登壇と講義のスライドを作成していた
イベント「JAWS PANKRATION 2024」に登壇した
イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした

登壇系が少し一段落しましたが、新卒1年目にしては色々と良い経験になった気がします。
ありがとうございました！

引き続き9月以降もまだある諸々に取り組み、今後は自己研究テーマとバグバウンティをメインにちゃんと再開して励むようにします。 pic.twitter.com/pephAa4wzn
— morioka12 (@scgajge12) September 4, 2024

9月

ブログ「P3NFEST 2024 Summer のハンズオン講座に関する開催記（実践的なバグバウンティ入門）」を書いた
イベント「SecHack365 第3回イベント(広島)」に全体アシスタントとして参加した
会社で社外向けイベントの企画運営や司会進行を担当した
自分のキャリアについて色々と再度考え始めた
バグハンティングの Tips を整理した

10月

「セキュリティ若手の会」というコミュニティを立ち上げた
イベント「IssueHunt Lounge#7 P3NFESTお礼の会＆サイバーセキュリティ交流会」に参加した
- (パネルディスカッションのモデレーターを担当した)
バグバウンティを対象に脆弱性調査していた
バグハンティングの Tips を整理した

11月

「セキュリティ若手の会」の第1回イベントの準備などを進めた
イベント「SecHack365 第4回イベント(大阪)」に全体アシスタントとして参加した
会社で秋のインターンを開催してメンターを担当した

12月

イベント「Flatt Security Beer Bash #1」に参加した
イベント「第1回セキュリティ若手の会（LT&交流会）」を主催した
イベント「SecHack365 Returns」に参加した
イベント「IssueHunt Lounge#8 CISO・CTO大忘年会」に若手枠で参加した
ブログ「「Bug Bounty JP Podcast」の2024年振り返りまとめ」を書いた
バグハンティングの Tips を整理した

3. ブログ執筆

ブログは、合計「15件」の記事を書いていました。

今年は、あまり凝ったブログは書けなかった印象で、来年以降は何か凝ったブログを書ければ良いなと思っています。

特に反響があった記事は、以下になります。

scgajge12.hatenablog.com

4. 外部活動

登壇：6件
講義：2件
インタビュー：1件
その他：数回

登壇

登壇は、主に「6件」のイベントで登壇しました。

イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
- 「学生と語る、サイバーセキュリティの未来」
イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- 「次世代への種を蒔こう〜学生と社会人との交差点として、JAWS-UGができること〜」
イベント「CMC_Central 2024」のパネルディスカッションに登壇した
- 「新卒メンバーに聞く！ぶっちゃけ、学生から見てコミュニティってどうだった？」
イベント「ISC2 Japan Chapter 勉強会」に登壇した
- 「クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜」
イベント「Hack Fes. 2024」に登壇した
- 「バグバウンティ入門　〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜」
イベント「JAWS PANKRATION 2024」に登壇した
- 「Threats and countermeasures in AWS environments from an Attacker’s perspective」

最後のセッション！はせがわようすけさん（モデレーター）、森岡さん、松本さん、シークレットゲストさんにご登壇いただき、「学生×サイバーセキュリティ」でお話いただきます#P3NFEST2024 pic.twitter.com/sHiIxT5KDa
— Kazz Yokomizo | IssueHunt (@kazzyokomizo) February 17, 2024

ISC2 Japan Chapter勉強会 2024/07

｢クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜｣https://t.co/dDuPttYpJQ
— morioka12 (@scgajge12) July 10, 2024

クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜 - Speaker Deck

講義

講義は、主に「2件」のイベントで講師をしました。

イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
- 「CVEから学ぶWebアプリケーションのバグハント入門」
イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした
- 「実践的なバグバウンティ入門」

GMOサイバーセキュリティ byイエラエ株式会社森岡優太氏による、「CVEから学ぶWebアプリケーションのバグハント入門」です。OSSの既知の脆弱性を題材に、Webアプリケーションのバグハントについてハンズオン形式で学んでいます。後半では、CVE取得までの一連の流れについても体験します。 #seccamp pic.twitter.com/IOYxRFRITZ
— セキュリティ・キャンプ (@security_camp) June 22, 2024

P3NFEST 2024 Summer のハンズオン講座『実践的なバグバウンティ入門』の一般公開用スライドを公開しました！ (非公開部分あり)#P3NFEST https://t.co/8QGiyo8yI4
— morioka12 (@scgajge12) August 31, 2024

実践的なバグバウンティ入門 - Speaker Deck

詳細は、以下をご覧ください。

scgajge12.hatenablog.com

インタビュー

インタビューは、Webメディアの「レバテックLAB」で日本人バグハンターとしてのインタビューを受けました。

その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味

levtech.jp

コミュニティ

JAWS-UG

JAWS (AWS User Group – Japan)は、「2件」のイベントに登壇者として参加しました。

また、学生中に「AWS Community Builders (Security & Identity Builder since 2024)」としても選出されました。

AWS にある「AWS Community Builders」のセキュリティ部門に選出された
イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
イベント「JAWS PANKRATION 2024」に登壇した

この度 AWS Community Builder に選出されました！！
カテゴリーは Security and Identity です！#AWSCommunity #AWSCommunityBuilders pic.twitter.com/y5psEw9fNe
— morioka12 (@scgajge12) March 4, 2024

scgajge12.hatenablog.com

This is my slide from presentation at JAWS PANKRATION 2024. (No. TT-60)
Thank you.#jawsug #jawspankration #jawspankration2024 https://t.co/fc4rBCHYdH
— morioka12 (@scgajge12) August 24, 2024

Threats and Countermeasures in AWS Environmentsfrom an Attacker’s Perspective - Speaker Deck

Bug Bounty JP Podcast (Host)

今年の2月から日本人バグハンターの3人で、ポッドキャスト「Bug Bounty JP Podcast (BBJP_Podcast)」を始動しました。

「Bug Bounty JP Podcast (@BBJP_Podcast)」とは、バグバウンティなどを対象にバグハントすることを趣味とするメンバーによる、セキュリティ雑談のポッドキャストです。

月1で収録とエピソードの公開をしていて、Spotify のフォロワー数が「503人」までなりました。

身近でバグバウンティやっている人と一緒に雑談する「Bug Bounty JP Podcast」というポッドキャストを始めます！

Bug Bounty JP Podcast #BBJP_Podcast https://t.co/FBAQhYLwNi
— morioka12 (@scgajge12) February 13, 2024

「Bug Bounty JP Podcast」の #Spotifyまとめが公開されました！
今年の2月から月1で始めて、いつもありがとうございます！ #BBJP_Podcast #Spotifyまとめ2024 pic.twitter.com/7ZQXJmrZpi
— Bug Bounty JP Podcast (@bbjppodcast) December 5, 2024

詳細は、以下をご覧ください。

scgajge12.hatenablog.com

セキュリティ若手の会 (Host)

今年の10月に「セキュリティ若手の会」というコミュニティを2人で立ち上げました。

「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手エンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。

そして、12月には第1回イベント「第1回セキュリティ若手の会（LT&交流会）」も主催しました。

この度、「セキュリティ若手の会」というコミュニティを @4su_para と @scgajge12 で立ち上げました！

セキュリティに興味がある学生や若手セキュリティエンジニアの方は、ぜひ X (@sec_wakate)と connpass をフォローしてください〜！
ハッシュタグ：#sec_wakate
— セキュリティ若手の会 (@sec_wakate) October 5, 2024

x.com

zenn.dev

5. バグハンティング

バグバウンティ

バグバウンティは、特に2月に取り組むことができ、初めて四半期ランキングで17位になり、受賞することができました。

また、Critical な脆弱性も複数件報告することができ、良い感じに楽しく取り組めていました。

ですが、4月以降が思ったより外部イベントの依頼などでタスクが膨れ上がり、あまり取り組めなかったのが残念でした...。

バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)
バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)
大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した

scgajge12.hatenablog.com

I ranked 6th on @intigriti leaderboard for February 2024. #HackWithIntigriti
- Accepted: 25 reports

I will continue to enjoy Bug Bounty! pic.twitter.com/TbFxYG2srP
— morioka12 (@scgajge12) March 1, 2024

In 2024 Q1 Leaderboard I am 17th place on @intigriti .
Thanks for the voucher.#HackWithIntigriti pic.twitter.com/5vjyTmnMMe
— morioka12 (@scgajge12) April 4, 2024

Just scored a reward @intigriti . #HackWithIntigriti

I'm very happy that the two "Exceptional" vulnerabilities (9.8) I reported were approved. pic.twitter.com/RQQRXyVakY
— morioka12 (@scgajge12) February 6, 2024

The results are in!🥇

Congratulations to these 32 teams who will move on to the Group Round of the 2024 #AmbassadorWorldCup! 🙌

The next round kicks off at the end of August! Stay tuned for the latest info, and read more about the AWC here. https://t.co/ZKBzjgwKWv pic.twitter.com/aKFpKxn0FN
— HackerOne (@Hacker0x01) July 30, 2024

CVE

CVE は「2件」取得しました。(だいぶ前に報告したものに発行された模様)

CVE-2024-23348
- CWE-20: Improper Input Validation
CVE-2024-23782
- CWE-79: Cross-site Scripting

scgajge12.hatenablog.com

6. その他

プライベート

プライベート周りは、今年も充実した1年だったと思います。

また、ディズニー好きということもあり、今年はディズニーリゾートに「8回」遊びに行きました。

(詳細は、Facebook の方でつぶやきます。)

過去の振り返りブログ

過去の振り返りブログは、以下にまとめてあります。

scgajge12.hatenablog.com

7. 終わりに

今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介しました。

今年は社会人1年目ということもあり、本業にもしっかりと取り組みつつ、外部活動では有難いことに色々な機会を得ることができました。

想定より少し多忙でしたが、ありがとうございました。

来年の抱負

本業で新しいことにチャレンジする。
バグバウンティに継続的に取り組み、実績も作る。
立ち上げたコミュニティ周りも継続する。
新しい分野のインプットをする。
プライベートの時間もしっかりと充実させる。

来年も新しいことにチャレンジしつつ、外部活動は少し引き受ける数を減らして落ち着ければと思っています。

2025年も、どうぞよろしくお願い致します！

ここまでお読みいただきありがとうございました。

2024-09-02

P3NFEST 2024 Summer のハンズオン講座に関する開催記（実践的なバグバウンティ入門）

BugBounty・BugHunt イベント振り返り

1. 始めに

こんにちは、morioka12 です。

本稿では、8月31日に開催された「P3NFEST 2024 Summer」でハンズオン講座『実践的なバグバウンティ入門』を実施したため、その開催記を簡単に紹介します。

2. 「P3NFEST 2024 Summer」

P3NFEST(ペンフェスト)とは、IssueHunt株式会社が主催する、学生のためのサイバーセキュリティカンファレンスです。

概要

P3NFESTは、日本国内の学生に対してカンファレンスやバグバウンティを通じて「様々なセキュリティキャリア」をより身近なものとするべく、第二回目のカンファレンスを2024年8月31日に開催することを決定いたしました。
豪華登壇者による講演や、脆弱性診断入門等のハンズオン講座をご提供。現地参加学生に交通費を支給！

当日は、午前中に現地参加の学生向けの「ハンズオン講座」が開かれ、午後にオンライン参加者も含めた「講演」が行われました。

講演後は、現地参加者のみを対象に登壇者及びスポンサー企業の担当者の方々などを交えた「懇親会」も開かれました。

現地会場

フリー株式会社
- 東京都品川区大崎1-2-2アートヴィレッジ大崎セントラルタワー 21階

タイムテーブル

時刻	概要	参加者
10:00 ~ 12:00	ハンズオン講座	現地参加者のみ
13:00 ~ 16:30	講演	現地参加者&オンライン参加者
16:30 ~ 17:30	懇親会	現地参加者&登壇者やスポンサー企業の方々

ハンズオン講座

現地参加の学生向けに提供されたハンズオン講座は、以下の4つの講座が用意され、希望アンケートからどれか一つを受講することが可能でした。 (定員あり)

『脆弱性の探求：攻撃者の目線で校内ネットワークを探る, VulnHub - VulnUni』
『実践的なバグバウンティ入門』
『ハッキング・ラブ！はじめてのハッキングをやってみよう』
『ZAPを活用した脆弱性診断入門』

講演

基調講演『脆弱星に導かれて』
ソフトバンクのセキュリティエンジニアからセキュリティの重要性
とあるペンテスターたちの成長記録
サイバーセキュリティ業界における、女性の活躍とキャリアデザイン
ソフトウェア開発とサイバーセキュリティ、二兎を追う若者たちへ
バグバウンティイベント参加企業紹介

スポンサー企業

＜ゴールドスポンサー＞
- ソフトバンク株式会社
＜シルバースポンサー＞
- 株式会社CARTA HOLDINGS
- 株式会社セキュアスカイ・テクノロジー
- 伊藤忠テクノソリューションズ株式会社
- 株式会社日本総合研究所
- 株式会社エヌ・エフ・ラボラトリーズ
- NRIセキュアテクノロジーズ株式会社
- 株式会社LayerX
- LRM株式会社
- 株式会社FFRIセキュリティ
＜会場スポンサー＞
- フリー株式会社

issuehunt.jp

また、開催近日は台風の影響で、現地参加を予定していた西日本の方で来れなかった学生には、次回の開催に優先的に招待がされるそうです。

【当日現地参加予定の西日本の方々へのご案内】
台風の影響により、ご来場が難しい方々が多数いらっしゃることは認識しており、運営一同心を痛めております。
そのため、次回P3NFESTへの優先案内を含め、処置を講じさせていただきます。
詳しくはDiscordの案内をご確認ください。#P3NFEST https://t.co/YCwFFeTz96
— IssueHunt バグバウンティ (@IssueHunt_jp) August 29, 2024

第一回 P3NFEST

ちなみに、第一回目の P3NFEST は、2024年2月17日に「P3NFEST Conf 2024」として開催されました。

その際は、学生バグハンターとしてパネルディスカッション「学生と語る、サイバーセキュリティの未来」に登壇してました。

最後のセッション！はせがわようすけさん（モデレーター）、森岡さん、松本さん、シークレットゲストさんにご登壇いただき、「学生×サイバーセキュリティ」でお話いただきます#P3NFEST2024 pic.twitter.com/sHiIxT5KDa
— Kazz Yokomizo | IssueHunt (@kazzyokomizo) February 17, 2024

issuehunt.jp

参加申し込み

参加申し込み枠は、以下のようでした。

学生枠 (現地参加)：80名
- 申し込み数：80名
学生枠 (オンライン参加)：200名
- 申し込み数：115名
一般枠 (オンライン参加)：300名
- 申し込み数：216名

また、現地参加の学生枠は「先着順」となっていました。

特に特徴的なのが、現地参加の学生に一定の交通費が支払われる点です。

また、本カンファレンスは、現地参加の学生の皆様へ交通費を支給します。
・南関東在住者（東京都・千葉県・神奈川県・埼玉県）は、上限を5千円とし、実費を支給いたします。
・南関東以外の在住者については、上限を1万5千円とし、実費を支給いたします。

そのため、第一回や第二回の参加者を見ていて、県外や地方の学生も多く来ていた印象でした。

boost.connpass.com

申し込み日 (記録)

P3NFEST 2024 Summer の申し込みは、7月5日(金)の9時から開始されました。

現地参加の学生枠は、先着順で定員80名でしたが、公開されて約80分で満席になっていました。

イベントとしてはまだ第二回目ということで、比較的に新しいイベントで認知度がまだまだかと思いますが、多くの学生の方に注目されていた印象でした。

現地参加の学生枠のタイムログ

時刻	経過	現地参加枠(学生)
09:00	申し込み開始	0/80名
09:10	10分経過	40/80名
10:24	約80分経過	80/80名

申し込みが開始されました！

現地参加の学生枠は定員80名ですが、開始10分で既に40名も埋まってます…（待ち構えてた人が多い）。

学生のためのサイバーセキュリティカンファレンス「P3NFEST 2024 Summer」 https://t.co/3tpN6qoCFE #P3NFEST
— morioka12 (@scgajge12) July 5, 2024

申し込み開始して約80分で、現地参加の学生枠80名が埋まりました...！(凄い)

学生のためのサイバーセキュリティカンファレンス「P3NFEST 2024 Summer」#P3NFEST pic.twitter.com/ABPeEmaReB
— morioka12 (@scgajge12) July 5, 2024

当日の様子

X (Twitter)のハッシュタグは、「#P3NFEST」でした。

また、Togetter でまとめてくださっている方がいたため、こちらで当時のツイート(ポスト)を見ることができます。

togetter.com

今日は P3NFEST 2024 Summer でハンズオン講師します！ #P3NFEST pic.twitter.com/PA7H38uZbf
— morioka12 (@scgajge12) August 31, 2024

#P3NFEST ハンズオン講座が始まりました👩‍💻

①脆弱性の探求：攻撃者の目線で校内ネットワークを探る, VulnHub - VulnUni
講師：林憲明氏（トレンドマイクロ株式会社プリンシパルセキュリティアナリスト）

②実践的なバグバウンティ入門
講師：森岡優太氏（GMOサイバーセキュリティ… pic.twitter.com/ZGYHe8cwKZ
— IssueHunt バグバウンティ (@IssueHunt_jp) August 31, 2024

#P3NFEST 講演が始まりました！

はじめは、にしむねあさんによる基調講演「脆弱星に導かれて」です🙌 pic.twitter.com/Ry2u6P5LkD
— IssueHunt バグバウンティ (@IssueHunt_jp) August 31, 2024

次はソフトバンク小野彰久さんによる「ソフトバンクのセキュリティエンジニアからセキュリティの重要性」です！#P3NFEST pic.twitter.com/7uHtFuDIWM
— IssueHunt バグバウンティ (@IssueHunt_jp) August 31, 2024

3. ハンズオン講座『実践的なバグバウンティ入門』

本ハンズオン講座では、120分で学生向けに「座学と実習を含む実践的なバグバウンティ入門講座」を実施しました。

概要

●このハンズオンについて
本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法をハンズオン形式で実施します。
　
特にバグハンターとしての視点で、実際のバグバウンティの対象に対してどういう情報収集をしたり、どういう観点で脆弱性調査をするかなどのポイントを押さえながら、一緒に体験していただきます。
　
また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定して、Webセキュリティの要素のみを取り扱います。
　
●学生さん側で準備するもの
ローカルプロキシツール「Burp Suite」がインストール済みのパソコン
　
●定員
20名（応募者多数の場合は抽選）

講師プロフィール

学生時代から数社で脆弱性診断等の業務を経験し、2024年にセキュリティエンジニアとして所属企業に新卒入社。
普段は、Webペネトレーションテストやソースコード診断等の業務に従事する。
　
プライベートでは、バグハンターとしてバグバウンティに取り組み、危険度の高いクリティカルな脆弱性を複数発見し報告している。
また、趣味でポッドキャスト「Bug Bounty JP Podcast」の運営とスピーカーをしている。
　
外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、直近はセキュリティ・ミニキャンプやHack Fes.などのセキュリティイベントでも講師を務める。

本講座のコンセプト

本ハンズオン講座では、主に以下のようなコンセプトを持って、スライド等を用意しました。

バグバウンティの概要や業界、規約や倫理観、醍醐味などを知ってもらえるようにする。
現役のバグハンター視点から「調査の流れ」や「リアルな観点・ポイント」などを入門レベルで提供できるようにする。
バグバウンティにチャレンジしてみたい方に向けて、学習や取り組みの道筋を整理して提供できるようにする。

また、今回は「学生限定バグバウンティイベント」に参加する予定の方も多くいたため、より実践に近い形で「初期調査・脆弱性調査に関するアプローチやポイント、事例」を含めた「バグバウンティの一通りの流れ」を整理し、座学と実習の形式で提供しました。

スライドの構成は、以下のようです。

# タイムテーブル (120分)
1. 10:00 ~ 10:10 (10分)　前置き + 本題説明
2. 10:10 ~ 10:20 (10分)　バグバウンティの概要
3. 10:20 ~ 10:30 (10分)　規約・ルールの把握
4. 10:30 ~ 10:50 (20分)　初期調査編
5. 10:50 ~ 11:00 (10分)　休憩 + 自習
6. 11:00 ~ 11:40 (40分)　脆弱性調査編
7. 11:40 ~ 11:45 (5分)　 レポートの作成方法
8. 11:45 ~ 11:50 (5分)　 まとめ
9. 11:50 ~ 12:00 (10分)　Q&A

ちなみに、前回の「P3NFEST 2024 振り返りレポート」に以下のような回答があり、これらも少し意識して内容構成も考えて資料作成をしました。

Q. あると嬉しいコンテンツ

・脆弱性診断とバグバウンティは異なりますし、サイバーセキュリティという枠ではなく、バグバウンティに特化した内容を聞いてみたいです。

Q. 聞いてみたい講演の内容

・実践的なバグハンティングスキル

Q. 取り組みたいハンズオン講座の内容

・現役のバグハンターが脆弱性を探す様子を見てみたい
・バグハントの基本、応用講座

issuehunt.jp

受講生の感想 (紹介)

本ハンズオン講座の受講生は、申し込みで先着順を勝ち抜いた約80名から希望するハンズオン講座をアンケートで選んでいただき、その中から抽選で選ばれた約20名の学生に参加していただきました。(選考なし)

その受けていただいた受講生に対して「講座の感想アンケート」を取ったところ、有難いことに以下のような感想を頂きました。 (ブログ記載に許可確認済み)

大学3年生
- 満足度：3.普通

個人的には想像より入門の内容でしたが、資料がとても凝っていて嬉しかったです。
非公開の内容が多いだけでテンション上がります。
2時間という限られた時間の中で学び多きものにしてくださりありがとうございました。

高校3年生
- 満足度：4.満足

バグバウンティと脆弱性診断で見つかる脆弱性に差があると知る事ができた。

大学4年生
- 満足度：5.大変満足

バグバウンティについての概念は聞いたことはありましたが、具体的なバグハンティプラットフォームやそこでのルールなどは今回の講座で初めて知りました。
今回の講座の中でのルールや注意すべき点のところが今後バグハンティを始めるうえでの初めの一歩につながることになると思うので今回知ることができてとてもありがたかったです。

大学4年生
- 満足度：4.満足

バグバウンティの全体像をつかめた。
実際にバグバウンティのランキングに載られている方の考える道筋等も確認できて良かった。

大学2年生
- 満足度：5.大変満足

まず第一にプレゼンが上手い。
資料自体も去ることながら時間管理そして資料の説明どれをとっても素晴らしかった。
また構成も良かった。
特により実践的な流れを掴みつつ、bugbouty自体のキャッチアップをしていき、体系的に学習を進めるスタイルが非常によかった。
自分のような駆け出しの人間だとwebセキュリティにおける脆弱性の名称及びその影響程度は把握していても実践経験はほぼ皆無なため放任主義的なスタイルだと暇を持て余すことが多くなるため今回のような5分前後の形式で学習した内容を試してっていうのを繰り返すスタイルが非常によかった。

高専4年生
- 満足度：5.大変満足

バグバウンティを始める上で必要となるツールやサイト、考え方を学べて非常に為になった。

高校2年生
- 満足度：5.大変満足

「実践的」とあるようにバグバウンティの概要からアプローチ方法まで初心者でも理解しやすく、取り組みやすい内容だと感じた。
この講座を期にバグバウンティにチャレンジして見ようと思った。

大学3年生
- 満足度：5.大変満足

バグバウンティでどのようなことをどのような流れで行うか、という内容もハンズオンを交えつつ進めることができて大変面白いものでしたし、「何をしたらいけないか」というバグバウンティのルールや倫理面については（特に日本語で）丁寧に示してくれるものが他に多くなく、こちらについても具体例を交えつつ丁寧に話してくださり、大変学びになりました。

大学3年生
- 満足度：5.大変満足

見るべき観点や機能別の勘所の紹介が非常に参考になりました！
BBJPからバグバウンティに興味を持ち入門1ヶ月の初心者で、Reconで得られた大量の情報に溺れることが多々ありました。
今回の講座でどのようにして脆弱性調査を進めていくかの疑問が解消できました。
また、Reconで得られた怪しい箇所の優先度付に対する質問を直接お聞きすることができたため、より効率的に進められそうだと感じています。

専門1年生
- 満足度：5.大変満足

バグバウンティ自体聞いたことはあったのですが、実際にどんなことをどのようにやっているかは知らなかったのでとても興味深かったです。
余裕があるときに練習からでもやってみたいと思いました。

大学4年生
- 満足度：5.大変満足

バグバウンティへの理解が深まる良い講座だった

個人的には、受講生の感想アンケートを見てみて、タイトルの「実践的なバグバウンティ入門」として良い形で2時間の制約の中、実施できたかなと感じました。

本ハンズオン講座を希望して、受講してくださった学生の方々、大変ありがとうございました！

一般公開用スライド

今回、本ハンズオン講座に使用した「完全版スライド (192ページ)」は、受講した学生のみへの限定共有として、非公開としました。

ですが、多くの方にバグバウンティに興味を持ってもらえたら幸いのため、メインの内容などを削除した「一般公開用スライド (110ページ)」を用意しました。

そのため、少しでも興味のある方は、ぜひこちらをご覧ください。

https://speakerdeck.com/scgajge12/shi-jian-de-nabagubaunteiru-men
- ※ Speaker Deck上だと太文字が滲むため、手元にダウンロードして直接PDFを見ると鮮明に閲覧することができます。

speakerdeck.com

P3NFEST 2024 Summer のハンズオン講座『実践的なバグバウンティ入門』の一般公開用スライドを公開しました！ (非公開部分あり)#P3NFEST https://t.co/8QGiyo8yI4
— morioka12 (@scgajge12) August 31, 2024

b.hatena.ne.jp

4. その他

参加者ブログ

せっかくなので、参加記ブログを書いている方がいれば記事等を記載しておきます。(随時更新)

blog.blank71.com

zenn.dev

securesky-plus.com

公式「P3NFST 2024 Summer」開催レポート

issuehunt.jp

学生限定イベント「P3NFEST Bug Bounty 2024 Summer」

P3NFEST と同時期に、学生限定バグバウンティイベント「P3NFEST Bug Bounty」が開催されるようです。

issuehunt.jp

最後のセッションは、9月2日から開催する「学生限定バグバウンティイベント」で、バグバウンティプログラムを提供いただく企業各社の担当者の皆様です！

こちらの記事で各社のプログラムの紹介や担当者からの応援コメントを見れますので、ぜひご覧ください🙌#P3NFEST https://t.co/tXjx2GfPP7
— IssueHunt バグバウンティ (@IssueHunt_jp) August 31, 2024

Blog

「バグバウンティ入門(始め方)」

scgajge12.hatenablog.com

「ポッドキャスト：Bug Bounty JP Podcast」

scgajge12.hatenablog.com

インタビュー記事「バグバウンティに取り組む理由とその醍醐味」

scgajge12.hatenablog.com

5. 終わりに

本稿では、8月31日に開催された「P3NFEST 2024 Summer」でハンズオン講座『実践的なバグバウンティ入門』を実施したため、その開催記を簡単に紹介しました。

学生向けイベントということで、懇親会も含めて「バグバウンティについて」や「セキュリティエンジニアのキャリアパス」などの質問や相談をしに話しかけてくれる学生が以前より多くいた印象で、とても良い機会と感じました。

少しでも今後の学生の学習や取り組みに貢献できれば幸いです。ありがとうございました。

そして、また機会があれば、今回のようなバグバウンティに関するハンズオン講座をどこかでも実施できればと思います！

(受講生のレベルを一定見定めた選考ありの講座の場合などは、中級者向けな内容もできればと検討しています。)

日本でも、バグバウンティの導入や社内バグバウンティの実施、そしてバグバウンティに取り組むバグハンターが少しでも増えれば幸いです。

次回も P3NFEST が開催されたら、興味のある方は早めにチェックしてみてください。

ちなみに、参考までに過去の傾向では、以下のような時期で開かれていました。

1. 第一回 P3NFEST Conf 2024
  - 開催日：2月17日(土), 告知月：12月
2. 第二回 P3NFEST 2024 Summer
  - 開催日：8月31日(土), 告知月：6月

また、個人的には以下のような学生に、ぜひ P3NFEST をお勧めしたいと思います。

バグバウンティに興味がある方
脆弱性診断などのセキュリティに関する業務に興味がある方
セキュリティに興味ある学生や登壇者・スポンサー企業の方々と交流したい方 (現地参加の場合)

ここまでお読みいただきありがとうございました。

2024-07-29

バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube編)

BugBounty・BugHunt

1. 始めに

こんにちは、morioka12 です。

本稿では、バグバウンティの学習に活かせるおすすめの YouTube チャンネルと「Live Bug Bounty Hunting」の動画について、まとめて紹介します。

目次

筆者

ブログ一覧

おすすめブログ

振り返りブログ

1. 始めに

2. 「Bug Bounty JP Podcast (BBJP_Podcast)」とは

ポッドキャスト配信

Spotify for Creators

Podcast on Spotify

Apple Podcast

Amazon Music

Web ページ

コミュニティサーバー (リスナー向け)

3. 2024年の記録 (1年目)

エピソード

フォロワー

海外リスナー

Spotifyまとめ

ポッドキャストランキング

4. その他

リスナー向けの質問箱

プチ調査

外部紹介「YouTubeショート」

5. 終わりに

プチ予告

1. 始めに

2. タイムライン

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月

3. ブログ執筆

4. 外部活動

登壇

講義

インタビュー

コミュニティ

JAWS-UG

Bug Bounty JP Podcast (Host)

セキュリティ若手の会 (Host)

5. バグハンティング

バグバウンティ

CVE

6. その他

プライベート

過去の振り返りブログ

7. 終わりに

来年の抱負

1. 始めに

2. 「P3NFEST 2024 Summer」

概要

第一回 P3NFEST

参加申し込み

申し込み日 (記録)

当日の様子

3. ハンズオン講座『実践的なバグバウンティ入門』

概要

本講座のコンセプト

受講生の感想 (紹介)

一般公開用スライド

4. その他

参加者ブログ

公式「P3NFST 2024 Summer」開催レポート

学生限定イベント「P3NFEST Bug Bounty 2024 Summer」

Blog

「バグバウンティ入門(始め方)」

「ポッドキャスト：Bug Bounty JP Podcast」

インタビュー記事「バグバウンティに取り組む理由とその醍醐味」

5. 終わりに

1. 始めに

2. おすすめの YouTube チャンネル Top 5