著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート：セキュリティ業界、1440度（17）（2/3 ページ）

[株式会社FFRI，＠IT]

にぎわいを見せるバグバウンティの世界

　Webサイトやソフトウエアなどに存在する脆弱（ぜいじゃく）性を善意のホワイトハッカーが指摘し、その対価としてソフトウエアの開発会社などが報酬を提供するのが「バグバウンティプログラム」です。時には1億円もの報奨金が支払われることもあり、近年この制度が大いに関心を集めています。

　これまでは、米グーグルや米フェイスブックなどの海外大手企業が積極的にこの制度を取り入れていましたが、日本国内でも、サイボウズやLINEなどの企業が採用を始めています。

　CODE BLUE 2015では、バグバウンティの世界で活躍する2人のホワイトハッカーが登壇しました。

脆弱性を効率的に見つけるには「仕様書に沿ってテストする」だけ

　1人目は、本職の傍ら「Mozilla Firefox」を中心とするWebブラウザーに存在する多くの脆弱性を発見し、年間700万円以上の報奨金を獲得しているという「にしむねあ」こと西村宗晃氏。同氏は、自身がMozilla Firefoxに対してバグハントを行っている過程で導き出した「脆弱性が生まれるパターン」と「脆弱性の効率的な発見方法」について発表しました。

　意外なことにその方法は、「公開されているブラウザーの仕様書に沿ってテストケースを作成し、テストを実施する」というものでした。多くのブラウザーでは、仕様書に定義されている要件が満たされていなかったり、必要な機能が実装されていなかったりすることで脆弱性が生まれているケースが多いそうです。

キヌガワマサト氏の衝撃的発表、「IEのXSSフィルターを使ったXSS」

　西村氏に次いで登壇したのは、グーグルのバグバウンティプログラムで世界2位の報告数を誇り、他にも多数のプロダクトに対して脆弱性報告を行っているバグバウンティ界における“伝説的存在”、キヌガワマサト氏です。キヌガワ氏はバグバウンティの報奨金で生計を立てている「職業バグハンター」として有名で、去年のCODE BLUEにも参加していました。

　今回の同氏の発表は「Internet ExplorerのXSSフィルターを使ったXSS」という非常にインパクトの大きなトピックに関するものでした。これは、「XSSを防止するためにページの一部を書き換える」という本来XSSを防止するために存在するXSSフィルターの機能を利用して、タグ破壊などを意図的に起こし、逆にXSSを行ってしまうという衝撃的なもの。同氏いわく「マイクロソフトとの調整でかなり自粛したバージョン」とのことでした。

　発表では具体的な攻撃手法については紹介がなかったものの、マイクロソフトの対応が完了次第、攻撃手法も公開されるとのことです。