blog of morioka12

morioka12のブログ (Security Blog)

P3NFEST 2024 Summer のハンズオン講座に関する開催記(実践的なバグバウンティ入門)

BugBounty・BugHunt イベント 振り返り

1. 始めに

こんにちは、morioka12 です。

本稿では、8月31日に開催された「P3NFEST 2024 Summer」でハンズオン講座『実践的なバグバウンティ入門』を実施したため、その開催記を簡単に紹介します。


2. 「P3NFEST 2024 Summer」

P3NFEST(ペンフェスト)とは、IssueHunt株式会社が主催する、学生のためのサイバーセキュリティカンファレンスです。

概要

P3NFESTは、日本国内の学生に対してカンファレンスやバグバウンティを通じて「様々なセキュリティキャリア」をより身近なものとするべく、第二回目のカンファレンスを2024年8月31日に開催することを決定いたしました。
豪華登壇者による講演や、脆弱性診断入門等のハンズオン講座をご提供。現地参加学生に交通費を支給!

当日は、午前中に現地参加の学生向けの「ハンズオン講座」が開かれ、午後にオンライン参加者も含めた「講演」が行われました。

講演後は、現地参加者のみを対象に登壇者及びスポンサー企業の担当者の方々などを交えた「懇親会」も開かれました。

現地会場

  • フリー株式会社
    • 東京都品川区大崎1-2-2アートヴィレッジ大崎セントラルタワー 21階

タイムテーブル

時刻 概要 参加者
10:00 ~ 12:00 ハンズオン講座 現地参加者のみ
13:00 ~ 16:30 講演 現地参加者&オンライン参加者
16:30 ~ 17:30 懇親会 現地参加者&登壇者やスポンサー企業の方々

ハンズオン講座

現地参加の学生向けに提供されたハンズオン講座は、以下の4つの講座が用意され、希望アンケートからどれか一つを受講することが可能でした。 (定員あり)

  • 『脆弱性の探求:攻撃者の目線で校内ネットワークを探る, VulnHub - VulnUni』
  • 『実践的なバグバウンティ入門』
  • 『ハッキング・ラブ!はじめてのハッキングをやってみよう』
  • 『ZAPを活用した脆弱性診断入門』

講演

  • 基調講演『脆弱星に導かれて』
  • ソフトバンクのセキュリティエンジニアからセキュリティの重要性
  • とあるペンテスターたちの成長記録
  • サイバーセキュリティ業界における、女性の活躍とキャリアデザイン
  • ソフトウェア開発とサイバーセキュリティ、二兎を追う若者たちへ
  • バグバウンティイベント参加企業紹介

スポンサー企業

  • <ゴールドスポンサー>
    • ソフトバンク株式会社
  • <シルバースポンサー>
    • 株式会社CARTA HOLDINGS
    • 株式会社セキュアスカイ・テクノロジー
    • 伊藤忠テクノソリューションズ株式会社
    • 株式会社日本総合研究所
    • 株式会社エヌ・エフ・ラボラトリーズ
    • NRIセキュアテクノロジーズ株式会社
    • 株式会社LayerX
    • LRM株式会社
    • 株式会社FFRIセキュリティ
  • <会場スポンサー>
    • フリー株式会社

issuehunt.jp


また、開催近日は台風の影響で、現地参加を予定していた西日本の方で来れなかった学生には、次回の開催に優先的に招待がされるそうです。


第一回 P3NFEST

ちなみに、第一回目の P3NFEST は、2024年2月17日に「P3NFEST Conf 2024」として開催されました。

その際は、学生バグハンターとしてパネルディスカッション「学生と語る、サイバーセキュリティの未来」に登壇してました。

issuehunt.jp


参加申し込み

参加申し込み枠は、以下のようでした。

  • 学生枠 (現地参加):80名
    • 申し込み数:80名
  • 学生枠 (オンライン参加):200名
    • 申し込み数:115名
  • 一般枠 (オンライン参加):300名
    • 申し込み数:216名

また、現地参加の学生枠は「先着順」となっていました。

特に特徴的なのが、現地参加の学生に一定の交通費が支払われる点です。

また、本カンファレンスは、現地参加の学生の皆様へ交通費を支給します。
・南関東在住者(東京都・千葉県・神奈川県・埼玉県)は、上限を5千円とし、実費を支給いたします。
・南関東以外の在住者については、上限を1万5千円とし、実費を支給いたします。

そのため、第一回や第二回の参加者を見ていて、県外や地方の学生も多く来ていた印象でした。

boost.connpass.com


申し込み日 (記録)

P3NFEST 2024 Summer の申し込みは、7月5日(金)の9時から開始されました。

現地参加の学生枠は、先着順定員80名でしたが、公開されて約80分で満席になっていました。

イベントとしてはまだ第二回目ということで、比較的に新しいイベントで認知度がまだまだかと思いますが、多くの学生の方に注目されていた印象でした。

現地参加の学生枠のタイムログ

時刻 経過 現地参加枠(学生)
09:00 申し込み開始 0/80名
09:10 10分経過 40/80名
10:24 約80分経過 80/80名


当日の様子

X (Twitter)のハッシュタグは、「#P3NFEST」でした。

また、Togetter でまとめてくださっている方がいたため、こちらで当時のツイート(ポスト)を見ることができます。

togetter.com


3. ハンズオン講座『実践的なバグバウンティ入門』

本ハンズオン講座では、120分で学生向けに「座学と実習を含む実践的なバグバウンティ入門講座」を実施しました。

概要

●このハンズオンについて
本講座では、バグバウンティにおける初期調査や脆弱性調査などの方法をハンズオン形式で実施します。
 
特にバグハンターとしての視点で、実際のバグバウンティの対象に対してどういう情報収集をしたり、どういう観点で脆弱性調査をするかなどのポイントを押さえながら、一緒に体験していただきます。
 
また、今回は調査対象をドメイン(WebサイトやWebアプリケーション)に限定して、Webセキュリティの要素のみを取り扱います。
 
●学生さん側で準備するもの
ローカルプロキシツール「Burp Suite」がインストール済みのパソコン
 
●定員
20名(応募者多数の場合は抽選)

講師プロフィール

学生時代から数社で脆弱性診断等の業務を経験し、2024年にセキュリティエンジニアとして所属企業に新卒入社。
普段は、Webペネトレーションテストやソースコード診断等の業務に従事する。
 
プライベートでは、バグハンターとしてバグバウンティに取り組み、危険度の高いクリティカルな脆弱性を複数発見し報告している。
また、趣味でポッドキャスト「Bug Bounty JP Podcast」の運営とスピーカーをしている。
 
外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、直近はセキュリティ・ミニキャンプやHack Fes.などのセキュリティイベントでも講師を務める。


本講座のコンセプト

本ハンズオン講座では、主に以下のようなコンセプトを持って、スライド等を用意しました。

  • バグバウンティの概要や業界、規約や倫理観、醍醐味などを知ってもらえるようにする。
  • 現役のバグハンター視点から「調査の流れ」や「リアルな観点・ポイント」などを入門レベルで提供できるようにする。
  • バグバウンティにチャレンジしてみたい方に向けて、学習や取り組みの道筋を整理して提供できるようにする。

また、今回は「学生限定バグバウンティイベント」に参加する予定の方も多くいたため、より実践に近い形で「初期調査・脆弱性調査に関するアプローチやポイント、事例」を含めた「バグバウンティの一通りの流れ」を整理し、座学と実習の形式で提供しました。

スライドの構成は、以下のようです。

# タイムテーブル (120分)
1. 10:00 ~ 10:10 (10分) 前置き + 本題説明
2. 10:10 ~ 10:20 (10分) バグバウンティの概要
3. 10:20 ~ 10:30 (10分) 規約・ルールの把握
4. 10:30 ~ 10:50 (20分) 初期調査編
5. 10:50 ~ 11:00 (10分) 休憩 + 自習
6. 11:00 ~ 11:40 (40分) 脆弱性調査編
7. 11:40 ~ 11:45 (5分)  レポートの作成方法
8. 11:45 ~ 11:50 (5分)  まとめ
9. 11:50 ~ 12:00 (10分) Q&A


ちなみに、前回の「P3NFEST 2024 振り返りレポート」に以下のような回答があり、これらも少し意識して内容構成も考えて資料作成をしました。

  • Q. あると嬉しいコンテンツ

・脆弱性診断とバグバウンティは異なりますし、サイバーセキュリティという枠ではなく、バグバウンティに特化した内容を聞いてみたいです。

  • Q. 聞いてみたい講演の内容

・実践的なバグハンティングスキル

  • Q. 取り組みたいハンズオン講座の内容

・現役のバグハンターが脆弱性を探す様子を見てみたい
・バグハントの基本、応用講座

issuehunt.jp


受講生の感想 (紹介)

本ハンズオン講座の受講生は、申し込みで先着順を勝ち抜いた約80名から希望するハンズオン講座をアンケートで選んでいただき、その中から抽選で選ばれた約20名の学生に参加していただきました。(選考なし)

その受けていただいた受講生に対して「講座の感想アンケート」を取ったところ、有難いことに以下のような感想を頂きました。 (ブログ記載に許可確認済み)

  • 大学3年生
    • 満足度:3.普通

個人的には想像より入門の内容でしたが、資料がとても凝っていて嬉しかったです。
非公開の内容が多いだけでテンション上がります。
2時間という限られた時間の中で学び多きものにしてくださりありがとうございました。

  • 高校3年生
    • 満足度:4.満足

バグバウンティと脆弱性診断で見つかる脆弱性に差があると知る事ができた。

  • 大学4年生
    • 満足度:5.大変満足

バグバウンティについての概念は聞いたことはありましたが、具体的なバグハンティプラットフォームやそこでのルールなどは今回の講座で初めて知りました。
今回の講座の中でのルールや注意すべき点のところが今後バグハンティを始めるうえでの初めの一歩につながることになると思うので今回知ることができてとてもありがたかったです。

  • 大学4年生
    • 満足度:4.満足

バグバウンティの全体像をつかめた。
実際にバグバウンティのランキングに載られている方の考える道筋等も確認できて良かった。

  • 大学2年生
    • 満足度:5.大変満足

まず第一にプレゼンが上手い。
資料自体も去ることながら時間管理そして資料の説明どれをとっても素晴らしかった。
また構成も良かった。
特により実践的な流れを掴みつつ、bugbouty自体のキャッチアップをしていき、体系的に学習を進めるスタイルが非常によかった。
自分のような駆け出しの人間だとwebセキュリティにおける脆弱性の名称及びその影響程度は把握していても実践経験はほぼ皆無なため放任主義的なスタイルだと暇を持て余すことが多くなるため今回のような5分前後の形式で学習した内容を試してっていうのを繰り返すスタイルが非常によかった。

  • 高専4年生
    • 満足度:5.大変満足

バグバウンティを始める上で必要となるツールやサイト、考え方を学べて非常に為になった。

  • 高校2年生
    • 満足度:5.大変満足

「実践的」とあるようにバグバウンティの概要からアプローチ方法まで初心者でも理解しやすく、取り組みやすい内容だと感じた。
この講座を期にバグバウンティにチャレンジして見ようと思った。

  • 大学3年生
    • 満足度:5.大変満足

バグバウンティでどのようなことをどのような流れで行うか、という内容もハンズオンを交えつつ進めることができて大変面白いものでしたし、「何をしたらいけないか」というバグバウンティのルールや倫理面については(特に日本語で)丁寧に示してくれるものが他に多くなく、こちらについても具体例を交えつつ丁寧に話してくださり、大変学びになりました。

  • 大学3年生
    • 満足度:5.大変満足

見るべき観点や機能別の勘所の紹介が非常に参考になりました!
BBJPからバグバウンティに興味を持ち入門1ヶ月の初心者で、Reconで得られた大量の情報に溺れることが多々ありました。
今回の講座でどのようにして脆弱性調査を進めていくかの疑問が解消できました。
また、Reconで得られた怪しい箇所の優先度付に対する質問を直接お聞きすることができたため、より効率的に進められそうだと感じています。

  • 専門1年生
    • 満足度:5.大変満足

バグバウンティ自体聞いたことはあったのですが、実際にどんなことをどのようにやっているかは知らなかったのでとても興味深かったです。
余裕があるときに練習からでもやってみたいと思いました。

  • 大学4年生
    • 満足度:5.大変満足

バグバウンティへの理解が深まる良い講座だった


個人的には、受講生の感想アンケートを見てみて、タイトルの「実践的なバグバウンティ入門」として良い形で2時間の制約の中、実施できたかなと感じました。

本ハンズオン講座を希望して、受講してくださった学生の方々、大変ありがとうございました!


一般公開用スライド

今回、本ハンズオン講座に使用した「完全版スライド (192ページ)」は、受講した学生のみへの限定共有として、非公開としました。

ですが、多くの方にバグバウンティに興味を持ってもらえたら幸いのため、メインの内容などを削除した「一般公開用スライド (110ページ)」を用意しました。

そのため、少しでも興味のある方は、ぜひこちらをご覧ください。

speakerdeck.com

b.hatena.ne.jp


4. その他

参加者ブログ

せっかくなので、参加記ブログを書いている方がいれば記事等を記載しておきます。(随時更新)

blog.blank71.com

zenn.dev


公式「P3NFST 2024 Summer」開催レポート

issuehunt.jp


学生限定イベント「P3NFEST Bug Bounty 2024 Summer」

P3NFEST と同時期に、学生限定バグバウンティイベント「P3NFEST Bug Bounty」が開催されるようです。

issuehunt.jp


Blog

「バグバウンティ入門(始め方)」

scgajge12.hatenablog.com

「ポッドキャスト:Bug Bounty JP Podcast」

scgajge12.hatenablog.com

インタビュー記事「バグバウンティに取り組む理由とその醍醐味」

scgajge12.hatenablog.com


5. 終わりに

本稿では、8月31日に開催された「P3NFEST 2024 Summer」でハンズオン講座『実践的なバグバウンティ入門』を実施したため、その開催記を簡単に紹介しました。

学生向けイベントということで、懇親会も含めて「バグバウンティについて」や「セキュリティエンジニアのキャリアパス」などの質問や相談をしに話しかけてくれる学生が以前より多くいた印象で、とても良い機会と感じました。

少しでも今後の学生の学習や取り組みに貢献できれば幸いです。ありがとうございました。


そして、また機会があれば、今回のようなバグバウンティに関するハンズオン講座をどこかでも実施できればと思います!

(受講生のレベルを一定見定めた選考ありの講座の場合などは、中級者向けな内容もできればと検討しています。)

日本でも、バグバウンティの導入や社内バグバウンティの実施、そしてバグバウンティに取り組むバグハンターが少しでも増えれば幸いです。


次回も P3NFEST が開催されたら、興味のある方は早めにチェックしてみてください。

ちなみに、参考までに過去の傾向では、以下のような時期で開かれていました。

1. 第一回 P3NFEST Conf 2024
  - 開催日:2月17日(土), 告知月:12月
2. 第二回 P3NFEST 2024 Summer
  - 開催日:8月31日(土), 告知月:6月

また、個人的には以下のような学生に、ぜひ P3NFEST をお勧めしたいと思います。

  • バグバウンティに興味がある方
  • 脆弱性診断などのセキュリティに関する業務に興味がある方
  • セキュリティに興味ある学生や登壇者・スポンサー企業の方々と交流したい方 (現地参加の場合)


ここまでお読みいただきありがとうございました。