第2回千葉大学セキュリティバグハンティングコンテストの結果
- 1 コンテスト実施状況
- 実施期間・・・平成29年8月4日~平成29年9月7日
- ハンターライセンス取得人数・・・73名
- 実際に脆弱性検査を行い、レポートを提出したチーム数 ・・・16チーム
- 2 審査結果
- ↑ 前列左からチーム「debugger」の川辺さん、「five quadrillion yen」の古川さん、「GeEKs」の皆さん、後列左から「seagull」の皆さん、「ねむりの会」の田代さん
- 参考 審査委員名簿
|
five quadrillion yen |
優秀賞 |
GeEKs |
| debugger チームメンバー 川辺 萌未(理学部・4年) |
|
奨励賞 |
seagull |
| ねむりの会 チームメンバー 田代 弘平(工学部・2年) |
| 委員名 | 所属 |
伊 藤 彰 嗣 |
サイボウズ株式会社 セキュリティ室 |
大 熊 隆 志 |
千葉県警察本部 サイバー犯罪対策課 サイバー犯罪特別捜査官 警部補 |
久 保 正 樹 |
国立研究開発法人 情報通信研究機構(NICT) |
下 村 正 洋 |
特定非営利活動法人日本ネットワークセキュリティ協会 理事・事務局長 |
長谷川 陽 介 |
株式会社セキュアスカイ・テクノロジー CTO研究開発部部長 |
松 浦 知 史 |
国立大学法人東京工業大学 学術国際情報センター 准教授 |
満 永 拓 邦 |
国立大学法人東京大学 情報学環特任准教授 |
凌 翔 太 |
マクニカネットワークス株式会社 |
福 田 鉄 平 |
フューチャーアーキテクト株式会社 |
お知らせ
表彰式及び懇親会
以下の日程で表彰式及び懇親会を開催します。
ハンターライセンス取得者の紹介により、コンテスト参加の有無にかかわらず参加できますので、ご興味のある方をお誘い合わせの上、ご参加ください。
※懇親会への参加は事前申し込みが必要です。
moodle2017の専用フォームより、お申し込みをお願いします。
| 表彰式 | 日時 | 10月19日(水)16:10~17:10 | |
| 場所 | 工学系総合研究棟2 2階カンファレンスルーム | ||
| 懇親会 | 日時 | 同日 17:15~19:20 | |
| 場所 | けやき会館1階 コルザ | ||
| 内容 | コンテストアドバイザーの長谷川陽介様による解説や、表彰対象の学生によるプレゼンテーションを予定しております。 また、今回セキュリティ業界で著名な方々に審査をお願いしておりますが、審査委員の方々も出席されますので、是非奮ってご参加ください。 | ||
セキュリティバグハンティングコンテストとは
千葉大学では、昨年度に引き続き学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2017年8月4日から開催いたします。
当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。
本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度(Bug Bounty Program)」をモデルとしています。
- セキュリティバグ報奨金制度(Bug Bounty Program)とは
- ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。
開催目的
昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材(学生)の輩出を目的としています。
昨年度からの変更点
- ・昨年度は個人戦でしたが、今年度は4名までのチーム(1名も可)での参加となります。
- ・木更津高専から、4チームがゲストとして参加予定です。
参加条件
本学の学生で、8月4日~8日に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また基本的な知識の取得ができる初心者向け講習会も開催しますので、経験のない初心者でも安心して参加いただけます。
4名までのチームで参加していただきます(1名のチームでも構いません)。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。
実施スケジュール
日程 |
時間 |
内容 |
7月5日(水) |
9:00~ |
参加受付開始 |
8月4日(金) |
11:00~12:00 |
初心者向け事前講習会 |
13:30~13:50 |
コンテスト説明会【Live】 |
|
13:50~14:50 |
法律・倫理講習【Live】 |
|
8月7日(月) |
||
10:40~11:00 |
コンテスト説明会【ビデオ】 |
|
11:00~12:00 |
法律・倫理講習【ビデオ】 |
|
13:30~16:40 |
技術講習【Live】 |
|
8月8日(火) |
||
10:40~11:00 |
コンテスト説明会【ビデオ】 |
|
11:00~12:00 |
法律・倫理講習【ビデオ】 |
|
13:30~16:40 |
技術講習【ビデオ】 |
|
8月9日(水) |
||
10:40~11:00 |
コンテスト説明会【ビデオ】 |
|
11:00~12:00 |
法律・倫理講習【ビデオ】 |
|
13:30~16:40 |
技術講習【Live】 |
|
8月10日(木) |
~10:40 |
参加受付終了 |
10:40~11:00 |
コンテスト説明会【ビデオ】 |
|
11:00~12:00 |
法律・倫理講習【ビデオ】 |
|
13:30~16:40 |
技術講習【ビデオ】 |
|
講習受講終了後 |
~23:59 |
セキュリティバグ探索、レポート作成期間 |
9月8日(金) |
|
レポート審査期間 |
10月中 |
|
表彰式 |
※コンテスト説明会、法律・倫理講習、技術講習は、全ていずれか1回の受講が必須です。
事前講習会および講習会
開催場所
総合校舎1号館5階 情報演習室1
※参加人数が多い場合、総合校舎1号館4階 情報演習室2でLive上映します。
8月9日・10日の補講は、総合校舎1号館3階 A328 セミナー室4で行います!
講習内容
①初心者向け |
日時 | 8月4日(金) 11:00~12:00【LIVE】 |
| 概要 | このコンテストの内容について、初心者向けにわかりやすく説明します。 |
|
| 講師 | 佐藤元彦 大学運営基盤機構情報環境部門准教授
|
注)以下、②.③、④を全て受講しないとハンターライセンスは交付されません。
② コンテスト |
日時 | 8月4日(金)13:30~13:50【LIVE】 |
| 概要 | コンテストのルール・注意事項について |
|
※7日~10日は4日の講習をビデオ上映します。 |
||
③ 法律・倫理講習 |
日時 | 8月4日(金)13:50~14:50【LIVE】
|
| 概要 | 刑法、不正アクセス禁止法、事例紹介 など |
|
| 講師 | 石井徹哉副学長 |
|
※7日~10日は4日の講習をビデオ上映します。 |
||
④ 技術講習 |
日時 | 8月7日(月)13:30~16:40【LIVE】 |
| 概要 | 脆弱性診断の初歩と仕組み、ウェブサイト攻撃手法、主な検査ツールの使い方、診断レポートの書き方 など |
|
| 講師 | 長谷川陽介氏(株式会社セキュアスカイ・テクノロジー) |
|
※8日~10日は7日の講習をビデオ上映します。 |
||
補講について
8月9日(水)・10日(木)に補講の開催が決定しました!
それに併せてエントリー受付期間も8月10日 10時40分まで延長します!
| 開催日 | 8月9日(水)・10日(木) |
|
| 開催時間 | コンテスト説明会及び法律・倫理講習 |
10:40 ~ 12:00 |
技術講習 |
13:30 ~ 16:40 |
|
| 実施場所 | 総合校舎1号館3階 A328 セミナー室4 |
|
コンテスト参加に必要なツール
パソコンはご自身のものを使ってください。(大学では用意しません)
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。
検査対象のウェブサイト
今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイトを検査対象とする予定です。詳しくは8月4日(金)開催の「コンテスト説明会」にて発表します。
レポートの提出について
コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは有識者により審査を行い、優秀者は表彰します。
なお、セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。
また、昨年度の審査基準は以下のとおりです。(今年度は変更になる場合があります)
(a) 網羅的に調査している
(b) ツールによる検査結果だけでなく、手動で検証している
(c) 目の付け所が良い
(d) 重大な脆弱性を見つけた
(e) 脆弱性が無かった箇所について、適切に指摘している
(f) 脆弱性が与える影響まで考察している
(g) レポートが分かりやすく書かれている
表彰
成績優秀者には、副学長より表彰状が授与されます。
また、副賞が授与されます。
※副賞は千葉大学SEEDS基金より給付されます。
Q & A
- 何をやるんでしょうか?
- 千葉大が運用管理しているWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。
8/4 (金) 11:00~12:00 に、総合校舎1号館 5階 情報演習室1にて初心者向け事前講習会を開催しますので、是非ご参加下さい。
この事前講習会の参加は任意です。 - 参加者のレベルはどのくらいですか?
- セキュリティに興味のある学生であれば、どなたでも参加いただけます!勿論、普段CTFに参加しているような上級者の参加は大歓迎です!
- チームでの参加の場合、講習会への参加は代表者だけでよいですか?
- 代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。
- どうやってバグを探せばよいのですか?
- 8/7(月)及び8/8(火) に総合校舎1号館 5階 情報演習室1で開催する技術講習会にてご説明します。
なお、8/4(金)、8/7(月)及び8/8(火)に説明会や法律・倫理に関する講習も実施しますので、こちらにも参加してください。(すべてに参加しないとハンターライセンスが取得できません=参加できません) - パソコンやツールは大学側から提供されるのでしょうか?
- ご自身のパソコンやツールを使ってください。大学では提供しません。
- 学外から探索できますか?
- 学外のネットワークから探索することも可能です。
- Windows/Linuxについてよくわかりませんが、参加できますか?
- Linuxのコマンドが分かると幸せですが、WEBの仕組みさえ分かれば大丈夫です!初心者向け事前講習会に是非ご参加ください!
- プログラミングがわかりませんが、参加できますか?
- PHP や Javascript がわかると幸せですが、全く出来なくても大丈夫です!
- 院生ですが、参加できますか?/留学生ですが、参加できますか?
- 院生の方も留学生の方も参加できます。
8/4(金)、8/7(月)または8/8(火)の説明会にご参加ください! - 教員ですが、参加できますか?
- 教職員の方の参加はご遠慮ください。
- 課題の提出が間に合わなかった場合にペナルティなどはありますか?
- 特にペナルティはありませんが、審査の対象とはなりません。
- 講習会に参加することができませんが、コンテストへの参加は認められますか?
- 「コンテスト説明会」「法律・倫理講習」「技術講習」の3つ全てに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
- コンテストの内容をブログ等に書いても構いませんか?
- コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
- 参加するとどんな良いことがありますか?
- 期限内にレポートを提出したすべてのチームに参加賞を進呈します!
また、履歴書に活動実績を書けます。
さらに、最優秀賞(1チーム)、優秀賞(若干チーム)には、石井徹哉副学長(専門法務研究科長)から表彰状を授与します。(これも履歴書に書けます!) また、副賞として商品券が進呈されます!
参加申し込み及び問い合わせ先
参加申込受付期間
7月5日(水)9:00 ~ 8月10日(木)10:40
(コンテスト説明会【ビデオ】開始まで)
申し込み及び問い合わせ先
千葉大学moodle2017にて受け付けます。
なお参加申し込みの際は、moodle2017上のコース「セキュリティバグハンティングコンテスト(登録キーはこちら(学内限定))」に登録したのち、チーム登録において、氏名のローマ字表記(ライセンス証書用)、チーム名、チームメンバーの氏名・学生証番号を記載してください。
Moodle2017はこちら
- ※コース登録やチーム登録はメンバー全員がそれぞれ行ってください。
- ※記入ミスや記入漏れは無効扱いとなりますのでご注意ください。
- ※説明会及び講習当日は学生証を持参ください。