Tweet
Tweet

Slide 1

Slide 1 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 1 実践的なバグバウンティ入門 (2025年版) 2025年3月15日(土) 10:00 ~ 12:00 P3NFEST 2025 Winter 森岡 優太 (@scgajge12) ハンズオン講座

Slide 2

Slide 2 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 2 本講座の注意点 免責事項・注意事項 ● 本資料は、発表者の個人的な見解に基づいて作成されており、 所属組織の見解を代表するものではありません。 ● 本資料は、セキュリティに関する知見を広く共有する目的で 作成されており、悪用行為を推奨するものではありません。 ● 本資料は、 外部公開禁止 とします。 (受講生のみ閲覧可 )  公開版 ○ SNSで感想等をつぶやくことは可とします。 ○ ハッシュタグ: #P3NFEST ● 完全版:177ページ ● 公開版:95ページ

Slide 3

Slide 3 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 3 前置き

Slide 4

Slide 4 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 4 講師の自己紹介 簡単なプロフィール ● 氏名:森岡 優太 (Yuta Morioka) ○ SNS:morioka12 (@scgajge12) ● 職歴:セキュリティエンジニア (24卒) ○ WebやCloudなどの脆弱性診断:約3年 (2020~2023) ○ Webペネトレーションテスト:約2年 (2023~現在) ● 運営: ○ Bug Bounty JP Podcast (ホスト & スピーカー) ○ セキュリティ若手の会 (創設メンバー) ● その他:Bug Bounty Hunter since 2020 https://scgajge12.github.io/

Slide 5

Slide 5 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 5 本イベント「 P3NFEST」 P3NFEST との関わり 1. 2024年2月 P3NFEST Conf 2024:登壇 2. 2024年8月 P3NFEST 2024 Summer:講師 (受講生:21人) 3. 2025年3月 P3NFEST 2025 Winter:講師 (受講生:26人) ←今回

Slide 6

Slide 6 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 6 「P3NFEST 2024 Summer」 https://scgajge12.hatenablog.com/entry/p3nfest_2024_summer_bugbounty

Slide 7

Slide 7 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 7 バグバウンティ歴 (これまで) 欧州 No1 バグバウンティプラットフォーム「 Intigriti」 ● 2020年3月:バグバウンティで脆弱性を探し始める (デビュー) ○ 3月3日:初の脆弱性認定 (報酬金なし) ○ 3月23日:初の報酬金獲得 (€250, 約3万円) ● 2020年4月:Intigriti の全体ランキング Top 100 入り (83位) ● 2022年4月:初の Critical な脆弱性認定 (CVSS score 9.1) ● 2024年2月:初の Exceptional な脆弱性認定 (CVSS score 9.8) ● 2024年3月:Intigriti の月間ランキング Top 10 入り (6位) ● 2024年4月:Intigriti の四半期ランキング Top 20 入り (17位, 受賞) https://scgajge12.github.io/bb/

Slide 8

Slide 8 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 8 インタビュー取材「レバテック LAB」 バグバウンティに取り組む理由とその醍醐味 https://levtech.jp/media/article/interview/detail_466/

Slide 9

Slide 9 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 9 ポッドキャスト「 Bug Bounty JP Podcast」 日本人バグハンター 3人によるセキュリティ雑談 Podcast https://bugbountyjppodcast.notion.site/Bug-Bounty-JP-Podcast-8bf1080383a54c4a8848f10bfeb874b3

Slide 10

Slide 10 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 10 本スライドのレビュアー 簡単な自己紹介 ● 新月 (@fubukiyokiyoki) ● SecHack365 2024年度:優秀修了 ● 第2回 セキュリティ若手の会( LT&交流会): LT発表 ● 最近はCTF, HTB, BugBountyがメイン ● お家40GbE始めました https://x.com/fubukiyokiyoki

Slide 11

Slide 11 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 11 本題

Slide 12

Slide 12 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 12 本イベントの概要 P3NFEST (ペンフェスト ) ● 学生のためのサイバーセキュリティカンファレンス ○ 主催:IssueHunt株式会社 ● 豪華登壇者による講演や脆弱性診断入門等のハンズオン講座を提供。 現地参加学生に交通費を支給! ● 日本国内の学生に対してカンファレンスやバグバウンティを通じて「様々なセ キュリティキャリア」をより身近なものとするべく、開催。 https://issuehunt.jp/events/2025/winter/p3nfest

Slide 13

Slide 13 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 13 受講生への質問 1. バグバウンティって元々知っていた人? 2. バグバウンティに取り組んだことある人?

Slide 14

Slide 14 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 14 本講座の概要 『実践的なバグバウンティ入門 (2025年版)』 本講座では、バグバウンティにおける初期調査と脆弱性調査の方法 を ハンズオン形式で実施します。 特にバグハンターの視点 で、実際のバグバウンティの対象に対して、 どういう情報を収集したり 、どういう観点で調査するか などのポイントを 押さえながら、一緒に体験していただきます。 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定してWebセ キュリティの要素 のみを取り扱います。 本講座で扱う脆弱性やJavaScriptなどの基礎知識は、受講生に事前学習として 資料を共有する予定です。

Slide 15

Slide 15 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 15 本講座のゴール (ポイント) 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 1. バグバウンティの概要

Slide 16

Slide 16 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 16 本講座の主軸 全体的に話すこと・話さないこと ● ⚪取り上げる話 ○ 視点:バグバウンティで脆弱性を探す側 (バグハンター) ○ 対象:ドメイン (WebサイトやWebアプリケーション) ○ レベル:入門者向け ● × 取り上げない話 ○ 視点:バグバウンティを導入したり運用したりする企業側 ○ 対象:スマホアプリやソフトウェアなど ○ レベル:中堅者以上向け

Slide 17

Slide 17 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 17 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 18

Slide 18 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 18 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 19

Slide 19 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 19 バグバウンティ

Slide 20

Slide 20 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 20 バグバウンティ バグバウンティ (Bug Bounty, 脆弱性報奨金制度 ) ● 許可されたリアルワールドの製品やサービスに対して脆弱性を調査し、報告さ れた脆弱性に対して報奨金が支払われる制度のこと。

Slide 21

Slide 21 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 21 バグバウンティ バグバウンティプラットフォーム (Bug Bounty Platform) ● バグバウンティを導入したい企業と脆弱性を探すバグハンターを 仲介して、運営するプラットフォームのこと。 バグハンター 仲介役 導入企業

Slide 22

Slide 22 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 22 バグバウンティ 3大バグバウンティプラットフォーム

Slide 23

Slide 23 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 23 バグバウンティ 日本最大バグバウンティプラットフォーム「 IssueHunt」

Slide 24

Slide 24 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 24 バグバウンティ バグバウンティを導入している有名企業 (例: HackerOne)      日系企業 ● ピクシブ ● LINEヤフー ● トヨタ自動車 ● ソニー ● 任天堂 ● スターバックス・ジャパン        海外企業 ● X (Twitter) ● Slack ● GitHub ● PayPal ● Amazon ● PlayStation ● アメリカ合衆国国防総省 ● Uber ● Spotify ● TikTok ● Figma ● Visa ● Netflix ● LinkedIn https://hackerone.com/bug-bounty-programs

Slide 25

Slide 25 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 25 バグバウンティ 「P3NFEST Bug Bounty 2025 Winter」の参加企業 ● 日本経済新聞社 ● サイバーエージェント ● サイボウズ ● KINTOテクノロジーズ ● コインチェック ● LIFULL ● Helpfeel ● シンクロ・フード ● ヌーラボ ● ファインディ ● ENECHANGE ● Qiita ● GMW ● ソラコム ● Sansan ● Finatextホールディングス https://issuehunt.jp/events/2025/winter/p3nfestbugbounty

Slide 26

Slide 26 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 26 バグバウンティ バグバウンティプラットフォームにおけるプログラムの種類 ● BBP (Bug Bounty Program) ○ 脆弱性レポートに対して危険度に合わせて報奨金が支払われる プログラム ● VDP (Vulnerability Disclosure Program) ○ 脆弱性報告窓口の役割なプログラム ○ 脆弱性レポートに対して報奨金が支払われない ■ プログラムによっては企業の限定グッズ(Swag)を提供したりする ■ BBPに比べてバグハンターの競争率が低い傾向あり

Slide 27

Slide 27 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 27 バグバウンティ バグバウンティプログラムの種類 ● パブリックプログラム (Public Program) ○ 誰でも参加して取り組むことが可能なプログラム ● プライベートプログラム (Private Program) ○ 一部の招待された者のみ 取り組むことが可能なプログラム ■ パブリックプログラムより競争率が低い傾向あり

Slide 28

Slide 28 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 28 バグバウンティ バグバウンティの特徴 ● 「報奨金」 は1件の脆弱性に対して第一報告者のみに支払われる点 脆弱性レポートの判定 (トリアージ ) ● Accept:第一報告で脆弱性認定 (報奨金あり) ● Duplicate:既に報告されている重複な報告 (報奨金なし) ● Informative:参考情報程度でリスク無しな報告

Slide 29

Slide 29 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 29 バグバウンティ バグバウンティプラットフォームのランキング制度 ● バグハンターの活動を評価して可視化された仕組み ○ ランキングの要素 ■ 報告した脆弱性の数や危険度, 報告書の質 ○ ランキングの種類 ■ 総合ランキング(全期間), 期間別ランキング(月間,四半期,年間) ○ ランキングのメリット ■ モチベーションの向上, スキルアップ, 認知度の向上, 評価軸 ● ランキングを「リーダーボード (Leaderboard)」という

Slide 30

Slide 30 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 30 バグバウンティハンター

Slide 31

Slide 31 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 31 バグバウンティハンター 脆弱性を探して報告する者 ● バグハンター (Bug Hunter) ○ 脆弱性を探して報告する人のこと ● バグバウンティハンター (Bug Bounty Hunter) ○ バグバウンティプログラムを対象に脆弱性を探して 報告することで報奨金を獲得する人のこと ■ 本業バグバウンティハンター:Full-time Bug Bounty Hunter         本講座では統一して「バグハンター」と称します。

Slide 32

Slide 32 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 32 バグバウンティハンター [HackerOneの調査結果 ] バグバウンティで脆弱性を探す動機 1. 挑戦するため (チャレンジ, 腕試し) 2. お金を稼ぐため 3. 知見やテクニックを学ぶため 4. 楽しむため 5. キャリアアップのため https://scgajge12.hatenablog.com/entry/bug_bounty_hunter_report

Slide 33

Slide 33 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 33 バグバウンティ業界 (プラットフォーム版 ) 一般的なバグハンターのレベル感 (総額) 1. 初心者レベル a. 0ドル〜500ドルの獲得 (目安:0円〜10万円) 2. 初級者レベル a. 500ドル〜1,000ドルの獲得 (目安:10万円〜15万円) 3. 中級者レベル a. 1,000ドル〜10,000ドルの獲得 (目安:15万円〜150万円) 4. 上級者レベル a. 10,000ドル〜100,000ドルの獲得 (目安:150万円〜1500万円) 5. プロレベル a. 100,000ドル以上の獲得 (目安:1500万円以上) 「達人レベル 」は... 100万ドル以上 (1億円以上) (4億円以上獲得してる人もいる )

Slide 34

Slide 34 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 34 バグバウンティ業界 (プラットフォーム版 ) 有名記事「初の 100万ドル稼いだバグハンター (2019)」の要約 ● HackerOneで初めて総額100万ドルを稼いだ19歳の男性 (アルゼンチン人) ○ 取り組み期間:2016年〜2019年 ○ 報告件数:1,670件 ● 2015年の16歳から独学でサイバーセキュリティの勉強を始めた ● 2016年の17歳の時に見つけたCSRFで初めて50ドルの報酬金を獲得した ● 1件の最大報酬金額はSSRFで9,000ドルの報酬金を獲得した ● Santiago Lopez (try_to_hack) ○ https://hackerone.com/try_to_hack https://www.hackerone.com/company-news/trytohack-makes-history-first-bug-bounty-hacker-earn-over-1-million

Slide 35

Slide 35 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 35 バグバウンティ バグバウンティの醍醐味 (個人の感想 ) ● 許可の上でリアルワールドの製品やサービス に対して脆弱性を探して良い点 ○ 規約の範囲内で実際の脅威を示せるところまで深ぼって調査や検証をして良い点 ○ 好きな時間に好きな場所で探したいプログラム の対象に対して取り組める点 ○ 事業者や利用者へのセキュリティ貢献に繋がる点 (世の中のためになる点) ● 他の人がまだ見つけていない脆弱性を見つけられるかの実力勝負な点 ○ (これには運や戦略も多少の影響あり ) ● 対価として報奨金やプラットフォーム内のポイント(評価)が貰える点 ○ 対外的に成果が個人の実績となる点 ポイント

Slide 36

Slide 36 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 36 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 37

Slide 37 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 37 プラットフォームの規約

Slide 38

Slide 38 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 38 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct, CoC) ● プラットフォームにおいて バグハンターが守るべき行動の基準やルールを定めたもの ○ 倫理, 道徳, 法律, 社会規範, 価値観などに基づいて作成されている         大前提として取り組む上でとても大切なこと!

Slide 39

Slide 39 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 39 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct, CoC):一部記載 ● 非専門的な行為 (Unprofessional Behavior) ○ プラットフォーム上でのやり取りは、 常に敬意を持って、 プロフェッショナルな態度と口調で行うようにしてください。 ● サービスの低下 /安全でないテスト (Service Degradation/Unsafe Testing) ○ バグハンターは、事前に許可なく安全でないテストを実行しては いけません。 ■ 顧客情報に過剰にアクセスする, 実際のデータベースを抽出する, ... ○ 各プログラムのテストポリシーを要確認すること。

Slide 40

Slide 40 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 40 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct, CoC):一部記載 ● 不正開示 - プライベートプログラム (Unauthorized Disclosure) ○ 各プライベートプログラムの存在を公開してはいけません。 ● 協調されていない脆弱性開示 - 公開プログラム           (Uncoordinated Vulnerability Disclosure) ○ 許可なく脆弱性に関する情報を開示してはいけません。 ● ソーシャルエンジニアリング (Social Engineering) ○ 許可なく他人になりすまして、 ソーシャルエンジニアリングをしてはいけません。

Slide 41

Slide 41 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 41 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct, CoC):一部記載 ● 違法または偽装ソフトウェアの使用 (Using illegal or counterfeit software) ○ バグハンターが使用するツールについて単独で責任を負ってください。 ○ 違法または偽造ソフトウェアのツールが禁止されています。 ● 恐喝/脅迫 (Extortion/Blackmail) ○ 強制によって賞金・金銭、またはサービスを得ようとしてはいけません。 ○ 個々の恐喝または脅迫は、深刻度に応じてエスカレートされ、 刑事犯罪に相当する場合があります。

Slide 42

Slide 42 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 42 バグバウンティプラットフォームの規約 行動規範 (Code of Conduct, CoC):まとめ ● 倫理的な脆弱性調査 ○ 脆弱性の発見を目的として、許可された範囲内でのみ 調査や検証をすること。 ○ 発見した脆弱性を悪用したり、データを盗んだり、 許可なく公開 してはいけない。 ● プロフェッショナルな行動 ○ 企業とのコミュニケーションを尊重し、丁寧かつ建設的な態度 で接すること。 ○ バグバウンティプログラムの規約やルールを遵守すること。 ○ 報酬金目当てに走らず、セキュリティ向上に貢献 することを意識すること。 ポイント

Slide 43

Slide 43 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 43 プログラムの規約

Slide 44

Slide 44 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 44 バグバウンティプログラムの規約 実際のパブリックプログラム:例 ● プラットフォーム: IssueHunt ○ https://issuehunt.io/programs ● LINE WORKS (BBP) ○ https://issuehunt.io/programs/d7c3def6-9500-469d-b114-e5dd71d39621 アクション ● 実際に 確認してみよう

Slide 45

Slide 45 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 45 バグバウンティプログラムの規約 プログラムの主な概要 ● プログラムの概要文 ● 対象範囲 (Scope) ○ 対象内の範囲 ● 対象外 (Out of Scope, OoS) ○ 対象外の範囲 ○ 対象外の脆弱性 ● 報奨金の一覧 ○ 各危険度に合わせた報奨金の範囲 ● 注意事項や禁止事項

Slide 46

Slide 46 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 46 バグバウンティプログラムの規約 プログラムの対象範囲 (Scope) ● 許可された調査対象 を明確に示したもの ● スコープ定義の例 (Webの場合) ○ ドメイン:「 example.com」 ■ https://example.com/login, https://example.com/search ○ サブドメイン入り:「 *.example.com」 ■ https://www2.example.com/login, https://open.example.com/ ○ 特定のパス以下のみ:「 example.com/api/*」 ■ https://example.com/api/search, https://example.com/api/token

Slide 47

Slide 47 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 47 バグバウンティプログラムの規約 プログラムの対象範囲:例 ● Scope: *.line-works.com

Slide 48

Slide 48 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 48 バグバウンティプログラムの規約 プログラムの対象外 (Out of Scope, OoS) ● 禁止された 調査対象や脆弱性を明確に示したもの ● 対象外の例 ○ 実際の検証コードのない、仮説的または理論的な脆弱性 ○ 当社サービスの中断につながる可能性のあるサーバーサイドDoS攻撃 ○ 任意のユーザーにスパムメッセージを送信する機能 ○ 重要でない機能におけるCSRFトークンの不在 ○ 古いブラウザやプラットフォームに起因する脆弱性 ○ ユーザー名/電子メールの列挙のみ

Slide 49

Slide 49 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 49 バグバウンティプログラムの規約 プログラムの対象外:例

Slide 50

Slide 50 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 50 バグバウンティプログラムの規約 プログラムの禁止事項:例

Slide 51

Slide 51 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 51 バグバウンティプログラムの規約 その他の注意事項:例 ● ツールに関して「リクエスト間隔の制限 」を設ける ○ 例:最大5リクエスト/秒 ● HTTPリクエストに指定された「任意のヘッダー 」を付与する ○ HackerOneの場合:X-HackerOne-Research: [H1 username] ● 資格要件 ○ 当社または関連会社の現従業員ではない こと。 ○ 16歳以上であること。

Slide 52

Slide 52 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 52 バグバウンティプログラムの規約 特に大事な注意点 ● 許可された調査範囲 (Scope,OoS)を必ず守ること ○ 反すると「不正アクセス行為の禁止等に関する法律 」に該当する可能性がある ■ 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く ● 禁止行為や注意事項を必ず守ること ○ NG: プライバシー侵害 , データの破壊 , 認証情報の総当たり攻撃 , など ○ NG: 保持しないアカウントとやりとりする行為 (実際の顧客情報の取得行為 ) ■ OK: 認可の検証はアカウントを 2つ用意して、              保持するアカウント同士で検証する。 → バグバウンティの対象はリアルワールドで稼働中のサービスや製品である点 ポイント

Slide 53

Slide 53 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 53 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 54

Slide 54 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 54 バグバウンティにおける 主な調査の流れ

Slide 55

Slide 55 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 55 バグバウンティにおける調査の流れ 全体的な調査の流れ (ドメイン:Webの場合) 1. バグバウンティプログラムを選ぶ 2. Scopeから調査対象を選ぶ 3. ドメイン(Web)を調査する a. 初期調査 (Recon) b. 脆弱性調査 (Research) 4. 脆弱性レポートを作成 & 提出する

Slide 56

Slide 56 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 56 バグバウンティにおける調査の流れ 全体的な調査の流れ (ドメイン:Webの場合) 1. バグバウンティプログラムを選ぶ 2. Scopeから調査対象を選ぶ 3. ドメイン(Web)を調査する a. 初期調査 (Recon) b. 脆弱性調査 (Research) 4. 脆弱性レポートを作成 & 提出する ハンズオン (体験型学習 )  で一緒にやってみよう!

Slide 57

Slide 57 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 57 バグバウンティにおける 調査前のタスク

Slide 58

Slide 58 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 58 バグバウンティにおける調査前のタスク [非公開] 座学 ● このセッションは非公開スライドです。

Slide 59

Slide 59 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 59 バグバウンティにおける 初期調査

Slide 60

Slide 60 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 60 バグバウンティにおける初期調査 [非公開] 座学 + ハンズオン ● このセッションは非公開スライドです。

Slide 61

Slide 61 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 61 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 62

Slide 62 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 62 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 63

Slide 63 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 63 バグバウンティにおける 脆弱性の事例

Slide 64

Slide 64 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 64 バグバウンティにおける脆弱性の事例 主な脆弱性のタイプ ● Active Vulnerability (能動的な脆弱性 ) ○ 攻撃者が直接操作することで脅威が生まれる脆弱性 ■ 例:SQLi, IDOR, アクセス制御の不備, 情報開示, ... ● Passive Vulnerability (受動的な脆弱性 ) ○ 攻撃者が仕掛けた罠 に対して被害者が操作することで 脅威が生まれる脆弱性 ■ 攻撃者の罠:悪意のあるペイロードが含まれるURLやWebページ, … ■ 例:XSS, CSRF, OpenR, CORSの不備, ...

Slide 65

Slide 65 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 65 バグバウンティにおける脆弱性の事例 HackerOne Top 10 Vulnerabilities (2024) 1. Cross Site Scripting (XSS):20% 2. Information Disclosure (情報開示):10% 3. Improper Access Control (アクセス制御の不備 ):9% 4. Misconfiguration (設定ミス):6% 5. Insecure Direct Object Reference (IDOR):6% 6. Improper Authentication (認証の不備):2% 7. Privilege Escalation (権限昇格):2% 8. Open Redirect (OpenR):2% 9. Business Logic Errors (ロジックの不備):2% 10. SQL Injection (SQLi):2% https://scgajge12.hatenablog.com/entry/bugbounty_reports_2024

Slide 66

Slide 66 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 66 バグバウンティにおける脆弱性の事例 HackerOne Top 3 Vulnerabilitiesの脆弱性:例 1. Cross Site Scripting (XSS):CWE-79 a. 反射型XSSによる1クリックでのアカウントの乗っ取り b. 蓄積型XSSによる0クリックでのアカウントの乗っ取り 2. Information Disclosure (情報開示):CWE-200 a. 未認証のユーザーによる機密情報の窃取 b. 設定ファイルやS3バケットにアップロードされたファイルなどの漏洩 3. Improper Access Control (アクセス制御の不備 ):CWE-284 a. パラメーター改ざんによる機密情報の窃取・改ざん b. パラメーター改ざんによる他ユーザーのアカウントの不正操作

Slide 67

Slide 67 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 67 バグバウンティにおける脆弱性の事例 バグバウンティでよく勘違いされる指摘事項:例 1. Webサイトで脆弱なバージョンのライブラリ を使っている場合 a. NG: 脆弱なバージョン情報がわかるのみ b. OK: 脆弱なバージョンによって脆弱性が実際に刺さる 2. WebサイトでSelf XSSがある場合 a. NG: Self XSSのみは被害者が自らを攻撃する必要がある b. OK: Self XSS + CSRFを組み合わせたReflected XSS(反射型) 3. WebサイトでHost Header Injectionがある場合 a. NG: Host Header Injectionのみは被害者が自らを攻撃する必要がある b. OK: Host Header InjectionによるXSS or SQLi

Slide 68

Slide 68 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 68 バグバウンティにおける脆弱性の事例 バグバウンティで扱われる脆弱性の特徴 ● 対象内の脆弱性 (求められる脆弱性 ) ○ 現実的な脅威や危険性が想定できる 脆弱性 ■ 例:アカウントの乗っ取り, 機密情報の窃取や改ざん, 不正な操作,   サーバーへの侵入, … ● 対象外の脆弱性 ○ 現実的な脅威や危険性があまり想定できない 脆弱性 ■ 例:重要でないCSRF, ユーザー名やメールアドレスの列挙,   Self XSS, 重要でないCookieにセキュアフラグ属性がない, …

Slide 69

Slide 69 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 69 バグバウンティにおける脆弱性の事例 バグバウンティで扱われる脆弱性の特徴:まとめ ● 事例からリアルワールドでよくある脆弱性 のタイプを把握する ○ HackerOne Top 10 Vulnerability ○ ブログ「バグバウンティにおける脆弱性報告ランキング Top 10 (2024年版)」 ● 過去に脆弱性レポートから実際の脆弱性 を把握する ○ HackerOne Hacktivity ○ hackerone-reports ○ バグハンターのブログ ○ X(Twitter) ● 脆弱性によって実際にどういう脅威や危険性が可能かを把握する ポイント

Slide 70

Slide 70 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 70 バグバウンティにおける 脆弱性調査

Slide 71

Slide 71 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 71 バグバウンティにおける脆弱性調査 [非公開] 座学 + ハンズオン ● このセッションは非公開スライドです。

Slide 72

Slide 72 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 72 バグバウンティにおける 脆弱性のエスカレーション

Slide 73

Slide 73 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 73 脆弱性のエスカレーション [非公開] 座学 ● このセッションは非公開スライドです。

Slide 74

Slide 74 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 74 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 75

Slide 75 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 75 バグバウンティにおける 脆弱性レポートの作成方法

Slide 76

Slide 76 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 76 バグバウンティにおける脆弱性レポート 主な脆弱性レポートの項目 1. レポートのタイトル a. 端的に脆弱性の指摘がイメージできる内容を記載する 2. スコープの選定 a. 対象のスコープを選ぶ 3. 危険度(深刻度)の設定 a. CVSSのスコアで設定する 4. 脆弱性に関する説明等 a. 概要, 再現方法, 脅威, 対策案, 参考資料, などを記載する

Slide 77

Slide 77 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 77 バグバウンティにおける脆弱性レポート 公式が提示する「高品質な脆弱性レポートの特徴」とは ● 概要や再現手順 ○ 脆弱性の概要を「明確で簡潔」に再現可能な手順を含む状態で説明する。 ○ 脆弱性の検証や再現手順に、スクリーンショット や動画を添付する。 ● 脅威や影響 ○ 脆弱性によって、どういう脅威に繋がるかの具体例を説明する。 ○ 脆弱性の脅威に繋がる「想定しうる攻撃シナリオ 」を記載する。 ポイント

Slide 78

Slide 78 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 78 バグバウンティにおける脆弱性レポート 公式が提示する「高品質な脆弱性レポートの特徴」の Docs ● HackerOne: Quality Reports ○ https://docs.hackerone.com/en/articles/8475116-quality-reports ● Bugcrowd: Writing a Good Bug Report ○ https://docs.bugcrowd.com/researchers/reporting-managing-submissi ons/reporting-a-bug/#writing-a-good-bug-report ● Intigriti: How to write and submit a good report ○ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit- a-good-report

Slide 79

Slide 79 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 79 バグバウンティにおける脆弱性レポート 想定しうる攻撃シナリオ ● 脆弱性の証明において、「攻撃者」と「被害者」の立場を定める。 ○ その上で、脆弱性の具体的な脅威を示すようにする。 ● 現実的に、発生する可能性のある脆弱性攻撃かを示す。 ○ 脆弱性を証明する際に攻撃条件(シナリオ)も示すようにする。 ■ 攻撃条件が厳しすぎると危険度が下がる。

Slide 80

Slide 80 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 80 バグバウンティにおける脆弱性レポート 脆弱性レポートのトリアージ対応 (選別) ● 報告内容の脆弱性が有効なものか (脆弱性として認められるか) ○ 脆弱性として脅威(Impact)や危険度があるか ○ 再現方法によって脆弱性が再現されるか ○ 脆弱性がScope内でOoSに当てはまっていないか ● 重複した報告内容か ○ 既に報告されている脆弱性か

Slide 81

Slide 81 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 81 バグバウンティにおける脆弱性レポート 脆弱性の危険度 (深刻度) ● 一般的には「CVSS」で評価される (Low, Medium, High, Critical) CVSS (Common Vulnerability Scoring System,   共通脆弱性評価システム )

Slide 82

Slide 82 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 82 バグバウンティにおける脆弱性レポート CVSSスコアの範囲 危険度レベル スコア範囲 0 None 0.0 1 Low 0.1 ~ 3.9 2 Medium 4.0 ~ 6.9 3 High 7.0 ~ 8.9 4 Critical 9.0 ~ 10.0

Slide 83

Slide 83 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 83 バグバウンティにおける脆弱性レポート 脆弱性レポートの作成方法:まとめ ● 「高品質な脆弱性レポートの特徴 」を踏まえて作成する ○ 明確&簡潔, スクリーンショットや動画 ○ 危険性の具体例, 想定しうる攻撃シナリオ ● 実際の脆弱性レポート(Hacktivity)を参考にする ○ (品質が良いもの悪いものと色々あります) ● 脆弱性を証明する上で攻撃条件や脅威を正しく示すようにする ポイント

Slide 84

Slide 84 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 84 タイムテーブル (120分) ● 10:00 ~ 10:10 (10分) 前置き + 本題 ● 10:10 ~ 10:20 (10分) バグバウンティの概要 ● 10:20 ~ 10:30 (10分) 規約・ルールの把握 ● 10:30 ~ 10:50 (20分) 初期調査編 ● 10:50 ~ 11:00 (10分) 休憩 + 自習 ● 11:00 ~ 11:40 (40分) 脆弱性調査編 ● 11:40 ~ 11:45 (5分)  レポートの作成方法 ● 11:45 ~ 11:50 (5分)  まとめ ● 11:50 ~ 12:00 (10分) Q&A

Slide 85

Slide 85 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 85 まとめ

Slide 86

Slide 86 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 86 本講座の概要 『実践的なバグバウンティ入門 (2025年版)』 本講座では、バグバウンティにおける初期調査と脆弱性調査の方法 を ハンズオン形式で実施します。 特にバグハンターの視点 で、実際のバグバウンティの対象に対して、 どういう情報を収集したり 、どういう観点で調査するか などのポイントを 押さえながら、一緒に体験していただきます。 また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定し、Webセ キュリティの要素 のみを取り扱います。 本講座で扱う脆弱性やJavaScriptなどの基礎知識は、受講生に事前学習として 資料を共有する予定です。

Slide 87

Slide 87 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 87 本講座のゴール (ポイント) 2. ドメイン(Web)に対する初期調査の方法 3. ドメイン(Web)に対する脆弱性調査の方法 1. バグバウンティの概要

Slide 88

Slide 88 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 88 バグバウンティ入門 バグバウンティに取り組む上で大切なこと ● バグバウンティは基本的に「長期戦」である ○ 「継続的な取り組み 」が大切 ● 脆弱性に対して好奇心や探究心を持って調査すること ○ 根気よく探し続ける, 検証し続ける, 調査を楽しむ ● 常にインプット とアウトプット (実践)を繰り返すこと ○ インプット:知見, テクニック, 事例 ○ アウトプット:調査, 検証 ポイント

Slide 89

Slide 89 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 89 バグバウンティ入門 バグバウンティの方法論:初心者向け完全ガイド 1. 長時間かけて単一のターゲットを狙う 2. ターゲットの全範囲を確認する (マッピングする) 3. ターゲットに関する製品やサービスのマニュアル を読む (ロジック, API) 4. 仕様や機能の変化に目を光らせる (新機能) 5. JavaScriptファイルは金鉱である (とても重要な調査対象) 6. 興味深いHTTPリクエスト/レスポンスの挙動をメモする 7. 自分のスキルにあったプログラム を選ぶ (Web,Mobile, BBP/VDP) 8. 非標準なポート番号 で動くサービスをテストする (80,443以外) ポイント https://www.intigriti.com/researchers/blog/hacking-tools/crafting-your-bug-bounty-methodology-a-complete-guide-for-beginners

Slide 90

Slide 90 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 90 バグバウンティ入門 バグバウンティに取り組むことで得られること ● 経験 ○ 実際の脆弱性を探す経験 ● 実績 ○ 実際に脆弱性を見つけた実績 ● お金 ○ 対価としての報酬金

Slide 91

Slide 91 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 91 バグバウンティ入門 バグバウンティに取り組むことで得られること ● 経験 ○ 実際の脆弱性を探す経験   → 脆弱性診断 , ペンテスト , 保守 ● 実績 ○ 実際に脆弱性を見つけた実績 → 就活, キャリアアップ ● お金 ○ 対価としての報酬金     → モチベーション , 収入

Slide 92

Slide 92 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 92 バグバウンティ入門 おすすめのロードマップ (個人の感想 ) 1. Webの仕組みやJavaScriptなどの基礎を学ぶ 2. 脆弱性の概要や仕組みを学ぶ a. Web Security Academy, PentesterLab, TryHackMe 3. 実際の脆弱性の事例や観点を知る a. Hacktivity, CVE, 4. 各調査(Recon, Research)のアプローチ方法 を知る a. ブログ, YouTube, X(Twitter), コミュニティ, 自己研究 5. バグバウンティ(VDP, BBP)にチャレンジ ! a. IssueHunt, 3大バグバウンティプラットフォーム ポイント

Slide 93

Slide 93 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 93 IssueHunt「P3NFEST 2025 Winter」 https://issuehunt.jp/events/2025/winter/p3nfestbugbounty

Slide 94

Slide 94 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 94 質疑応答 (Q&A) ~ 12:00 まで (夕方の交流会でも可 )

Slide 95

Slide 95 text

P3NFEST 2025 Winter「実践的なバグバウンティ入門(2025年版)」@scgajge12     PUBLIC 95 ご清聴ありがとうございました! Let’s enjoy Bug Bounty Hunting !