Enjoy security (How to start CTF and Bug Bounty!)

1. セキュリティを楽しむ！
（CTFやバグバウンティの始め方）
２０２１/０７/１８
パナソニック株式会社
製品セキュリティセンター 検証対策部
前田 朋久
『July Tech Festa 2021 #今さら聞けないIT技術』

2. 自己紹介
■名前
前田 朋久（Maeda Tomohisa）
Twitter： @kazkiti_ctf
■職業
本業：セキュリティエンジニア(会社員)
副業：バグハンター(個人事業主)
兼業：米国株式投資家
■本業の経歴
パナソニック株式会社に入社
・設計/製造品質コンサルタント（プロセス改善活動） ９年
・システムエンジニア（SIer） ※IT系へ異動希望 ２年
・セキュリティエンジニア ７年
（現職）脆弱性診断、脅威分析、OAuth2.0/OIDCの設計支援
Web脆弱性診断スペシャリストの育成の仕組み（kazkitiCTF）構築
マネージメントなどに従事

3. RCEを狙っていく
↓
RCEを報告し
報奨金獲得
実績と経験 ※業務除く
■セキュリティ関連
ＳＥＣＣＯＮ
国内決勝進出
準優勝 準優勝 優勝
医療セキュリティハッキングコンテスト
２０１６ ２０１７ ２０１８
２０１５
国内ＣＴＦを開始
海外ＣＴＦを開始
バグ
バウンティ
開始
弊社ＣＴＦチーム（Ｐｗｎａｓｏｎｉｃ）発足
２０１９ ２０２０
ＳＥＣＣＯＮ
国内決勝進出
CVE取得
RCE、XSS
バグバウンティ
RCEなど報告
CVE
JVN
取得
目標達成
目標達成
目標達成
RCEを狙っていく
↓
【RCE】
・CVE-2020-5593
【XSS】
・CVE-2020-5592
目標達成
セキュリティエンジニアになってから実現したい目標はおよそ達成！

4. 本日は下記２点をお話します
１．CTFの始め方
２．バグバウンティの始め方

5. 本日は下記２点をお話します
１．CTFの始め方
２．バグバウンティの始め方

6. ＣＴＦとは？
■概要
ＣＴＦとは、Capture The Flagの略。
セキュリティ技術を競うコンテスト
問題に隠されたFLAG(文字列)を見つけ出し得点を競う
(例) flag{You_are_winner!!}
出題分野：ネットワーク、フォレンジック、Web、暗号、その他
※初心者向けの問題や、試行錯誤しないと解けない難問や、
世界最先端のハッキング手法が出題されることもある
ＣＴＦをやるだけで、
世界レベルのセキュリティ技術を習得することができる！

7. 世界のＣＴＦ
■全世界での開催数※CTFtime.orgデータを集計
２０２１年 １０２大会 ※６末時点
２０２０年 ２３０大会
２０１９年 １９９大会
２０１８年 １５４大会
２０１７年 １４２大会
・・・ ・・・
・土日に開催されることが多い
・土日の２日制（４８時間）が多い
３６５日÷７日＝５２週なので、
２３０大会÷５２週＝４．４
世界中で、約４．４大会/週の頻度で開催されている！

8. 日本のＣＴＦ
■主要なＣＴＦ
・ＳＥＣＣＯＮ ＣＴＦ ※ＳＥＣＣＯＮ実行委員会主催
・ＳＥＣＣＯＮ ｂｅｇｉｎｎｅｒｓ ＣＴＦ ※ＳＥＣＣＯＮ実行委員会主催
・ＴｏｋｙｏＷｅｓｔｅｒｎｓ ＣＴＦ ※日本トップＣＴＦチーム主催
・ｚｅｒ０ｐｔｓ ＣＴＦ ※日本トップＣＴＦチーム主催
※ＳＥＣＣＯＮ ＣＴＦは、２０１２年～開催されている
※ＳＥＣＣＯＮ ｂｅｇｉｎｎｅｒｓ ＣＴＦは、初心者向けの問題が出題される
日本でも活発に開催されている！

9. いつ開催されているのか？
■世界中のＣＴＦ大会がまとめられているサイト
CTFｔｉｍｅ.oｒｇ https://ctftime.org/
今日も開催されている！
来週も開催されている！

10. どれに参加するとよいか？
■競技形式
・Jeopardy ：様々な分野の問題が出題されて、それを解いていく形式
・Attack-Defense :他チームとの攻防戦
⇒まずは、 Jeopardyに参加しましょう！
■参加形式
・現地 ：決勝大会は現地に集まることが多い（決勝進出すれば海外にいけるかも…）
・On-line ：インターネット経由で参加
⇒まずは、 On-lineに参加しましょう！

11. 初心者は何から始めるとよいか？
・ＣＴＦ関連書籍
・常設ＣＴＦ（picoCTF、CpawCTFなど）
CpawCTF ⇒ https://ctf.cpaw.site/
picoCTF ⇒ https://picoctf.org/
この辺りの問題を解いてみたり、write-up(解法)を見てみる
・どの分野をするか？
Web、暗号、フォレンジック、Pwnなど
2021/7/22
出版予定
個人的に楽しみ
にしています

12. 本日は下記２点をお話します
１．CTFの始め方
２．バグバウンティの始め方

13. バグバウンティ（バグ報奨金制度）とは？
■概要
企業が自社の製品やサービスに対するサイト/スマホアプリなどの案
件を公開することで、世界中のホワイトハッカーが、その対象の脆弱
性（バグ）を発見・報告し、その報告に対して報奨金を支払う仕組み
お金が絡んでいるため、全員が本気です！
スキルの高い人との競争になります！
（高いスキルとスピードが要求されます）
世界中に案件を公開
脆弱性を検査＆報告
報奨金

14. 報奨金はどれぐらいか？
サイトによりピンキリです。
１報告当たり1000円 〜 500万円
影響度が高い脆弱性の場合は、金額が高い
・認証バイパス ：10～500万円
・任意コード実行（RCE） ：10～500万円
・SQLインジェクション ：10～500万円

15. 始め方
下記のサイトにホワイトハッカーとして登録するとよい。
バグバウンティプラットフォーム
・Hacker One https://www.hackerone.com/
・Bugcrowd https://www.bugcrowd.com/
・BugBounty.jp https://bugbounty.jp/
自社運営
・サイボウズhttps://cybozu.co.jp/products/bug-bounty/
・Google https://www.google.com/about/appsecurity/reward-
program/index.html
など

16. ルールは遵守
■ルールの例
★サイトや案件によってルールは異なる！しっかり読みましょう！
・対象サイトが記載されている
⇒それ以外のサイトに攻撃しないこと（法律違反）
・対象の脆弱性が記載されている
⇒それ以外を報告しても、報奨金は貰えない！
・高負荷を与えることは禁止
⇒負荷試験、連続のリクエスト送信などはNG
・他ユーザに影響を与える行為は禁止
⇒脆弱性を悪用するなどで、他ユーザに影響のある行為はNG

17. 最後に…
セキュリティ技術がついたからといって...
許可されていない対象に対してハッキング行為を行った場合、
『不正アクセス禁止法』に抵触します。
刑罰：3年以下の懲役または100万円以下の罰金
許可されていない対象に
ハッキング行為をしてはいけません！！
重要！

18. まとめ
CTF、バグバウンティで
セキュリティを楽しみながら
技術力・収入を向上させていきましょう！