SSTバックヤード

SSTのサービスや業務など、さまざまな裏側をメンバーよりお届けする社員ブログです。

千葉大学主催「第4回千葉大学セキュリティバグハンティングコンテスト」表彰式より

こんにちは!広報の藤崎です。

先月2019年12月に行われた第4回千葉大学セキュリティバグハンティングコンテストの表彰式・懇親会にお邪魔しました。今回はその様子についてレポートします!

千葉大学セキュリティバグハンティングコンテスト(以下、コンテスト)とは、Webセキュリティ業界の人材育成を目的として、学科を問わず千葉大学に在籍する学生に向けて毎年開催されています。また、今年からは、他大学の早稲田大学・日本大学からの参加もありました。弊社CTOはせがわが講習会講師及びアドバイザーとして携わっています。

参加する学生には、セキュリティに関する法律・倫理、技術に関する講習の受講を義務付け、この講習を終えると「ハンターライセンス」を発行します。 そして、ハンターライセンスを取得した学生のみ、対象のWebサイトを検査することができます。

コンテストについては、過去のレポート千葉大学主催「第3回千葉大学セキュリティバグハンティングコンテスト」表彰式より もありますので、併せて読んでいただければと思います。

参加したチームは全部で13チーム。審査の結果、6チームが賞に輝きました!

f:id:fujia_sst:20200107162047j:plain
表彰式の様子。笑顔で表彰状を持つ受賞チームメンバー

受賞チーム&審査員、先輩によるLT大会!

表彰式の後は別会場に移動して、受賞チームメンバー、運営スタッフ、審査員で懇親会を実施します。

懇親会のお楽しみは恒例のLT大会です。 LT大会には、受賞チームだけでなく審査員や昨年受賞した先輩も参加します。

自分たちの検査方法をLTで発表!

受賞チームのLT発表。 同じ検査対象であっても、チームの数だけ独自の調査方法や見解があるのが興味深かったです。 また、チームの自己紹介やチーム名の面白い由来、検査方法などの話の中で、日頃のチームメンバー間の関わり合いや、学生ならではのフレッシュさを感じられ、微笑ましく思いました。

f:id:fujia_sst:20200107164339p:plain
各受賞チームのLT発表のようす

今回のコンテストの結果を受けて

運営側からの話

Q:第4回の開催を経て、学生に対して「ここが変わった」など感じられることはありますか。
A:前回と比較して特に3年生以上のライセンス取得者、レポート提出者が増え、前回からのリピーターも見られたのが印象的でした。

Q:コンテストに関して、今後の展望は何かありますか。
A:次回は東京工業大学が連携を前向きに検討されているので、期待しております。また、次々回からは主催の山田理事の展望として、大企業の後援を得て、より大規模に実施するというのもあります。

審査員側からの話

Q:第4回の開催を経て、学生に対して「ここが変わった」など感じられることはありますか。
審査員A:昨年から審査員を務めさせていただいて、感じた変化としては、「人に読んでもらうためには報告書をどう作ったらいいかを学生がかなり考えている」という事が各チームから非常に感じとれる報告書になっている点です。コンテストでは「バグを見つけること」だけではなく、見つけたバグを「どう報告するか」も大事な審査項目になっているので、とても良い変化だと思っています。

審査員B:学生たちの技術力向上と脆弱性検査についての理解が進んだことです。
第1回は、レベルのばらつきが目立ちました。今年は、ばらつきが減り、脆弱性検査という作業がどのようなものであり、それが実社会でどのように活用されているのかが理解されてきているように思います。 言い換えれば、脆弱性検査をする意義への理解が深まってきているのではないでしょうか。より実践的な検査とレポート作成が行なわれているように思います。

審査員C:底上げが進んでおり、一定レベルを超えたレポートの割合が例年よりも多くなっています。
認知度が向上し、セキュリティに興味のある学生が多く集まった影響もあると思いますが、現場での教育的指導(講義内容やレポートの書き方など)が効いていると感じています。
初期は、診断ツールの結果だけのレポートで終わってしまう学生も多かったようでしたが、脆弱性の評価を手動で行って、詳細な再現方法や被害の影響範囲などが良く書けているレポートが多くなったと思います。 脆弱性を探す視点や技術も向上し、大きな脆弱性も多数発見されています。また、再現手順の記述等では、図が効果的に活用され見やすいレポートになってきていると思います。

参加した学生たちの心境の変化

Q:コンテストへの参加前後でセキュリティに対する認識の変化があれば教えてください。
学生A:セキュリティへの関心が高まりました。セキュリティ業界を雲の上の存在と思っていたのが、身近になりました。

学生B:これまで危ないサイトに対して、漠然とした感覚的な理解しかなかったものの、今回自分で作業をしてみて意外と認識の甘いサイトも存在することが解り、 危険性やセキュリティ対策を行うことの必要性を実感できました。

学生C: 今回の検査対象サイトには、大学公式サイトだけではなく各研究室のサイトも含まれており、 それらのサイトからも脆弱性が見つかっていました。身近なところに脆弱性があると再認識し、Webセキュリティの向上は、サイト運営者全てが心がけるべき課題と感じました。

学生D:大学のWebサイトは脆弱性が多いということをよく感じました。

Q:コンテストに参加してみた感想を教えてください。
学生A:資格試験などでバグを利用した攻撃などを勉強したものの、実際に試す機会はありませんでした。 コンテストでは、それらを(許される範囲内で)試すことができ、大変貴重な経験ができました。 大きな脆弱性を見つけた時の喜びは何事にも代えがたく、セキュリティ分野の仕事に興味を持ちました。 唯一大変だったことは、調べた内容をレポートにすることでした。しかし、その過程で曖昧だった知識が明確になったように思います。

学生B:初心者すぎて授業を受けてもセキュリティについて十分には理解できませんでしたが、 特に千葉県警の方のお話は身近に感じられました。コンテスト自体、千葉大独自の取り組みとして、全国的にもっとアピールしていくべきだと思いました。 普段論文を書いているので、報告書の書き方については工夫ができてよかったと思っています。

学生C:初回参加しましたが、ステージ1である練習用サイトの難易度は当時より上がったと感じ、ステージ2の実サイトの方ではほとんど脆弱性を発見できませんでした。 その点においては残念でしたが、我々のチームでは報告書のクオリティの向上を図ったためか、 最後は受賞に結びつき、嬉しく思います。

学生D:純粋に楽しかったです。普段大学のWebサイトを利用者として見ているとなんとなく「脆弱そうだな…...」と思うことがよくあります。そこで深追いすることは絶対にしないのですが、コンテストでは大学公認の上バグを探せるので、ある程度自由にできたのが良かったです(当然、サイトに影響を与えないように細心の注意を払う必要がありますが…...)。結果として千葉大学のセキュリティ向上に貢献できた気がします。

Q:来年も参加してみたいですか。
学生A:大学院に進む予定で、今回よりも多忙になると思うので、今のところ考えてはいません。

学生B:来年は学生ではなくなるので……完全に分野外ですが、何らかの形で関わっていきたいです。

学生C:時間が許せば是非参加したいと思います。

全体を通じて感じたこと

運営側や審査員側からの話にもあった通り、コンテストは回を重ねるごとにレベルアップしている印象を受けました。

第1回のコンテストの際は、「バグを見つけても何をしていいのか分からない」「実際に使われているサイトに触れて作業をするので怖くて躊躇してしまう」という学生からの声があったそうです。

しかし、第4回に参加した学生たちからは好奇心と「バグを見つけてやろう」「捕まえてやろう」という1つの目標に向かう強い意思が伝わってきました。そして何より、コンテストそのものを楽しんでいました。

コンテストの参加を通じてひとりでも多くの学生がセキュリティに興味を持ち、将来、さまざまな形で活躍し、インターネットを安全にする未来を一緒に築いていけると素敵だと思います。

今後の活動にも期待です!