在野のさまざまなセキュリティリサーチャーの力を借り、自社システムやサービスの脆弱性を多様な視点から報告してもらい、対価として報奨金を支払う「バグバウンティプログラム」は、海外では一定の知名度を得るに至っている。一方、国内となると、うまく使いこなしている企業はほんの一部に限られているようだ。
そんな中、AIスキャナーとエシカル(倫理的な)ハッカーによる検査を組み合わせてセキュリティテストを行っているのが Synack だ。バグバウンティのやり方を取り入れ、厳格なバックグラウンドチェックを経た 1,500 名以上のエシカルハッカーからなる Synack Red Team にさまざまな角度から脆弱性を検査してもらうことで、ツールなどでは見落とされがちな盲点を洗い出していく。
ただ、こうしたクラウドソース的なセキュリティ検査サービスの実態は、まだあまり知られていないようだ。Synack Red Team に参加する数少ない日本人リサーチャーの一人、Toto氏に、活動状況や他の脆弱性診断サービス、バグバウンティプログラムと Synack の違いについて話を伺った。
●いろいろな人の目で脆弱性を調査できる、バグバウンティ方式のセキュリティ検査
Synack 堀:Totoさんが Synack Red Team(SRT)に入ったのはいつ頃でしょうか?
Toto:Synack のサービス自体は以前から知っていました。バグハンターが何人か参加しているという話も耳にしていましたが、当時は日本にほとんど情報がなく、敷居が高い印象がありました。参加のきっかけは 3 年半前、日本でも Synack のサービスを展開するというニュースです。興味を持ち、たまたま、海外から日本に来て会社で働いていて SRT に参加されている方を人づてに紹介してもらい、アドバイスをいただいた上で 2019 年 5 月ごろに参加しました。
堀:SRT として、どのように活動しているのでしょう?
Toto:他にも脆弱性診断やセキュリティテストの仕事をしながら、パートタイムで参加しています。
堀:脆弱性診断の仕事は、ずいぶん長くやっているのでしょうか?
Toto:そうですね、元々は開発のエンジニアでしたが、もう 10 年くらいになります。Webアプリケーションのほか、スマホのアプリや IoTデバイスに対する診断もやっています。
堀:こうした脆弱性診断の仕事と、バグバウンティ方式を取り入れた Synack の違いは、どんなところにあると感じますか?
Toto:やはり参加している人数が多く、いろいろな人の目で脆弱性を調査できるところが大きな違いだと思います。一般的な脆弱性診断は、あらかじめ予算が決まっており、その中で検査を行える範囲が限定的になってしまいますし、見る人も決まっていることが多いです。Synack はそこが違うと思います。
一方 Synack の場合、サービスのトップの URL だけをいただいて診断を実施するケースもあり、検査前にシステムの詳細な説明を受けられるわけではありません。そもそも何のサービスかよくわからなかったり、仕様上問題かどうかわかりにくい問題に直面して悩んだりすることもあります。
堀:確かに Synack は、攻撃者目線、攻撃者が持つであろう情報だけで検査を行うケースが多いですね。
●調査を行うエシカルハッカーと調査を受ける企業、双方にもたらされる利点
堀:米国では 2011 年ごろから Bugcrowd や HackerOne など、いくつかのバグバウンティ系のセキュリティ診断サービスが増えてきました。日本にも BugBounty.jp がありますし、ヨーロッパでもサービスが登場しています。なぜこうしたサービスが増えてきていると思われますか?
Toto:バグバウンティのメリットは、高いスキルを持ったリサーチャーがテストをしてくれる点でしょう。中には特殊なスキルやノウハウを持った方もおり、そうした人たちの力を借りられるのは大きなメリットだと思います。また、脆弱性診断は実施時点の状態を検査しますが、バグバウンティは実施期間中ずっと、どこかで誰かが見てくれている可能性があります。これもメリットになると思います。
堀:確かに、Synack には 1 年間継続的に検査を実施するサービスがあります。長期間検査を行うことで、新たに見つかった脆弱性を発見できるといった利点があるかもしれませんね。
Toto:それに、脆弱性診断では見つからなかった脆弱性を見つけられることにも意味があると思います。明らかに脆弱性診断を実施しているであろう大手企業もバグバウンティプログラムに参加し、実際にそれなりに脆弱性が見つかっている事実は、バグバウンティの有効性を示しているように思います。
診断をする側からするともう一つ、バグバウンティがない場合、脆弱性を見つけて企業に報告してもトラブルになるケースが少なからずありました。報告を受け付ける窓口を用意してルールを定めて報奨金を出すことによってそうしたトラブルが減らせるともに、企業にとってはセキュリティに注力している姿勢のアピールにつながるかもしれません。
堀:逆に、デメリットはあるでしょうか?
Toto:バグバウンティ方式では、リサーチャーがそれぞれの視点で脆弱性を探すため、網羅的に見るわけではありません。ですので、網羅的な脆弱性診断の代わりにバグバウンティだけをやっても、効果が限定的になってしまうかもしれません。
実際、Synack でも一気に大量の脆弱性が報告されてしまい、多数の報告をされたカテゴリの脆弱性が「Out of Scope」として認定対象外になったり、早期に報告の受付自体が終了してしまうことがあります。その場合、直接指摘されたところは直しても、他にも多くの類似の脆弱性が残ってしまう、ということが起こりかねないと思います。
ただ Synack の場合、各リサーチャーがどのエンドポイントに対してどのような調査をしているかがわかるようになっているので、可視化ができるとは思います。
●脆弱性認定から報奨金の支払いまでがスピーディな Synack
堀:他のバグバウンティプログラムには参加していますか? 何か違いはあるでしょうか?
Toto:登録はしていますが、そんなに多くはやっていません。Synack では VPN接続した状態でないと検査ができないほか、特有のルールがいくつかあります。また、厳選された人が参加しているので、オープンなバグバウンティに比べると報奨金の競争率も違うと思います。
審査をクリアしてメンバーになったら、定期的にターゲットが供給されることも特徴ですね。最初の審査、それに継続要件を満たしているかどうかの審査があり、他のプラットフォームに比べるとハードルは高いけれども、参加してしまうと定期的にクローズドのプログラムが供給される、という印象です。
堀:報奨金の額や支払い方に関してはどうでしょう。時折、報告してもなかなか脆弱性として認められず、時間がかかるという話も耳にしますが。
Synack Adrian:過去の私の経験では、報告してから一年も待たされたケースがありました。
Toto:Synack の場合はだいたい報告してから二日以内にはレスポンスが来ます。追加の情報が必要な場合はそこからやりとりを進めることもありますが、おおむね一週間程度で認定されるか、されないかが決まります。回答が来ないまま何ヶ月も待たされるということはありませんね。
また、報奨金の支払いは非常に早いです。脆弱性が認定された後、引き出し要求を出すと 1 日とかからずに処理していただけます。金額は、大企業の重大な脆弱性に比べると低くなりますが、平均的な額だと思います。
●どうすれば自分もなれる? バグハンター
堀:最近の IT環境の変化は非常に激しくなっています。Totoさんは、最新の開発環境・手法や脆弱性、ハッキング技術をどうやってアップデートしているのでしょうか?
Toto:ネット上の記事を見たり、それを実際に試してみたりというところです。
堀:バグハンターになるには、セキュリティに関する資格は必要だと思いますか?
Toto:一概には言えないかもしれません。資格がないと何かできないという性質のものではありませんし、尖った人こそ資格をあまり取らなかったりするケースもあります。ただ、勉強する動機付けとして資格を取る、というのはいいかもしれません。
Adrian:では、プログラミングの経験は必要だと思いますか?
Toto:よく言われることですが、やっぱり開発ができた方が開発者の気持ちがわかり、どんなところに脆弱性が入り込みやすいか、またアプリケーションの裏側でどんな処理が走っているかを想像しやすい部分があります。ですので必須とまでは言いませんが、あった方がいいように思います。
堀:どなたか参考にしている、あるいは憧れのハッカーやバグハンターはいますか?
ToTo:特にこの人、というのはありません。ただ、Synack のポータルにある、ポイントランキング上位にいる人たちのことは気になりますね。「これだけの期間でどうやってこんなにポイントを稼いでいるんだろう」と思うほど相当数の脆弱性を報告されており、一体どうやっているのか興味深いなと思います。
堀:Synack ではポータルの他に、Slack で SRTメンバーとコミュニケーションがとれるようになっています。それらも使っていますか?
Toto:はい。たまに投稿もしますが、見ている方が多いですね。同じプラットフォームを使って同じターゲットの脆弱性を探している人たちばかりなので、「WAF が入っていて通らないはずだけれど、どうやって通したの? これを報告した人、ダイレクトメッセージちょうだい」なんていう風にやりとりされているのを見ると、すごくいいなって思いますね。
堀:Synack には、どのエンドポイントに対してどういうカテゴリの脆弱性が報告され、それが Accept されたか Reject されたかといった情報を見られる「アナリティクス」という機能があります。こちらは何か参考になりますか?
Toto:実際のペイロードなど詳細とまではいきませんが、「他の人がどのターゲットに対して、どういうテストをしたか」という概要がわかるので、なかなか面白いですね。当たりを付けたり、自分はまだうまくいかないのに他の人が通しているのを見て、どうやっているんだろうと考えたりします。
堀:アナリティクスには、複数のリサーチャーが同じ脆弱性を報告してしまう「Duplicate(重複報告)」への対策も入っています。
Toto:そうですね。やはりバグバウンティ方式ですと、内容にもよりますが、重複した問題は報奨金の対象になりません。その点アナリティクスでは、報告時に「この URL でそのパラメータでこのカテゴリの脆弱性が、過去にどれだけ報告されたか」を見られるようになっています。レポートを書いている途中でもそれを参考に、すでに登録されていることがわかるので、重複を防ぐ対策の一環になっていると思います。
堀:Totoさんが初めて脆弱性をレポートし、Accept されて報奨金をもらうまでにはどのくらい時間がかかりましたか?
Toto:その当時は、「SRTメンバーになったら 45 日以内に脆弱性を見つけないと、その後正式にプログラムに参加できない」というルールがありました。それで頑張って調べた記憶があります。たしか一週間くらいで、XSS の脆弱性を見つけて報告しました。
堀:その報奨金で、どんなものを買いましたか?
Toto:それはノーコメントで(笑)。ただ、Synack には、ベースの報奨金レートの他に、堅いサイト、なかなか脆弱性が見つからないサイトに付けられる「Blitz(追加報酬)」というボーナス制度があります。僕が見つけた脆弱性にはその Blitz が付いていたので、そういう意味では結構な額をいただきましたね。その後も、他のターゲットでですが、任意のコード実行なものも含め、クリティカルな脆弱性も見つけてきました。
●脆弱性診断と補完し合いながら活用することで、セキュリティの向上を
堀:一週間のうちどのくらいの時間を Synack での調査に費やしていますか?
Toto:「一日にこのくらいの時間を使う」と決めているわけではなく、他の作業がない時にやる形なので、なかなか答えるのが難しい質問ですね。ただ、日本のターゲットが入ったときには集中して、ある程度時間をとるようにしています。
堀:検査をするとき、「こんなターゲットだと検査がやりやすい」といった条件はあるでしょうか?
Toto:他の方も同様だと思いますが、制限があまりない環境だといいですね。本番環境ですと、一秒当たりに送信可能なリクエスト数や実行可能な機能、実施時間帯などに制限が入ったりしますが、そういった制約が少ない方が検査がやりやすいです。
堀:今後、こうしたクラウドソース的なセキュリティ検査を日本でも盛り上げていくためには何が必要か、ご意見をお願いします。
Toto:日本語による情報が少ないのは一因かもしれませんね。どうしても英語でのやりとりが中心になるので、それもハードルになっているかもしれません。また Synack に関しては、基本的にクローズドのプログラムなので、参加プロセスからして情報が少ないし、バックグラウンドの審査もあるので敷居が高いかもしれません。そうした部分が改善されれば、変わっていくかもしれません。
堀:参加したい人に向けてアドバイスをお願いします。
Toto:バグバウンティに参加すると、ルールに従った上で生きたターゲットに対して調査をすることができ、業務で脆弱性診断を行うのと同じような経験を積むことができます。そういう意味で、参加してみるのはありだと思いますよ。
堀:逆に検査を受ける側からすると、「どんな人にどんな検査をされるかわからない」「もし脆弱性があったときに悪用されるんじゃないか」といった懸念を抱く方もいます。
Toto:それはあると思います。ただ、たとえこうしたプログラムを使わなくても、攻撃されるときは攻撃されてしまうでしょう。バグバウンティプログラムを通じて、脆弱性を見つけた対価を支払うことで、そうしたリスクを減らすことはできると思います。
ただ、脆弱性診断を実施しないでいきなりバグバウンティをやっても、おそらく思ったような成果を出せないでしょう。かといって脆弱性診断だけ実施していれば大丈夫というものでもありません。両方をうまく補完的に使うことができれば一番いいのかなと思います。
