お知らせ
  • 2019/11/14
    コンテストの結果を掲載しました。
  • 2019/10/9
    表彰式・懇親会の情報を掲載しました。
  • 2019/8/5
    「情報セキュリティ分析(実践)」の時間割を掲載しました。
  • 2019/6/6
    「情報セキュリティ分析(入門)」の開講日を修正しました。
  • 2019/5/29
    申し込み及び問い合わせ先を追加しました。
  • 2019/5/28
    ウェブサイトを公開しました

第4回千葉大学セキュリティバグハンティングコンテストの結果

1 コンテスト実施状況
実施期間・・・2019年8月7日~2019年9月16日
ハンターライセンス取得人数・・・45名
実際に脆弱性検査を行い、レポートを提出したチーム数 ・・・13チーム
2 審査結果
↑表彰された学生の皆さん(前列左から、チーム名「m1z0r3」さん、「白菜」さん、「Team HS」さん、「redox」さん、「にわか」さん、「Ramanujan」さん")及び審査委員の皆さん(後列)


最優秀賞

Team HS
チームメンバー 齊藤 慎之介(工学部・4年)
廣瀬 賢明(工学部・4年)

優秀賞

白菜
チームメンバー 荒木 笙子(園芸学研究科・博士後期課程3年)
曽我 龍宇一(園芸学部・4年)
水野 伶皇(園芸学部・3年)

redox
チームメンバー 羽生田 聖人(理学部・3年)

奨励賞

にわか
チームメンバー 坂本 翔太(園芸学部・1年)
森田 直樹(法政経学部・1年)

Ramanujan
チームメンバー 深澤 竜馬(理学部・4年)

特別賞

m1z0r3
チームメンバー 笹崎 寿貴(早稲田大学 基幹理工学研究科・2年)
齋藤 諒人(同上)
シュウ インゴウ(同上)
鈴木 宏彰(同・1年)


参考 審査委員名簿
(五十音順、敬称略)
委員名

所属

阿 部  巧

ソフトバンク株式会社
技術管理本部 ISC統括部 ITセキュリティ部 ITSOC課

大 熊 隆 志

千葉県警察本部 サイバー犯罪対策課
サイバー犯罪特別捜査官 警部補

大 塚 由梨子

サイボウズ株式会社
グローバル開発本部 東京品質保証部

岡 島 麗 奈

株式会社サイバーエージェント
システムセキュリティ推進グループ
セキュリティコンサルタント

久 保 正 樹

国立研究開発法人 情報通信研究機構(NICT)
サイバーセキュリティ研究所
サイバーセキュリティ研究室

下 村 正 洋

特定非営利活動法人
日本ネットワークセキュリティ協会
理事・事務局長

長谷川 陽 介
(審査委員長)

株式会社セキュアスカイ・テクノロジー
CTO研究開発部部長

福 田 鉄 平

Aqua Security Software Ltd.
Open Source Team Open Source Engineer

松 浦 知 史

国立大学法人東京工業大学
学術国際情報センター 准教授
東工大CERT 統括責任者

お知らせ

表彰式・懇親会

以下の日程で表彰式及び懇親会を開催します。

ハンターライセンス取得者であれば、レポート提出の有無に関わらず参加可能です。
興味のある方は是非ご参加ください。
※懇親会への参加は事前申し込みが必要です。

moodle2019の専用フォームより、お申し込みをお願いします。

表彰式 日時 11月8日(金)16:10~17:10
場所 けやき会館3階 レセプションホール
懇親会 日時 同日 17:15~19:20
場所 けやき会館1階 コルザ
内容 コンテストアドバイザーの長谷川陽介様による解説や、受賞チームによるプレゼンテーション、及び著名なセキュリティ企業等からお招きした審査委員の皆様によるライトニングトークを予定しております。

セキュリティバグハンティングコンテストとは

千葉大学では、昨年度に引き続き学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2019年8月7日から開催いたします。

当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。

本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度(Bug Bounty Program)」をモデルとしています。

セキュリティバグ報奨金制度(Bug Bounty Program)とは
ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。

開催目的

昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材(学生)の輩出を目的としています。

参加条件

本学の学生で、8月に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また第2タームに基本的な知識の取得ができる初心者向け講習を開催しますので、経験のない初心者でも参加可能です。

4名までのチームで参加していただきます(1名のチームでも構いません)。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。

実施スケジュール

日程

時間

内容

6月13日(木)
以降毎週木曜
5時限実施

16:10~17:40
(5時限)

「情報セキュリティ分析(入門)」
(初心者向け講習)
※参加自由

7月1日(月)

9:00~

参加受付開始

8月4日(日)

~23:59

参加受付終了

8月7日(水)

8:50~16:00
(1~4時限)

「情報セキュリティ分析(実践)」
 法律・倫理講習【Live】
 技術講習【Live】

8月8日(木)

8:50~16:00
(1~4時限)

「情報セキュリティ分析(実践)」
 技術講習(実習)
※参加自由

8月26日(月)

8:50~16:00
(1~4時限)

「情報セキュリティ分析(実践)」
 法律・倫理講習【ビデオ】
 技術講習【ビデオ】

8月27日(火)

8:50~16:00
(1~4時限)

「情報セキュリティ分析(実践)」
 法律・倫理講習【ビデオ】
 技術講習【ビデオ】

講習受講終了後
~9月16日(月)

~23:59

セキュリティバグ探索、レポート作成期間

9月17日(火)
~10月中旬

 

レポート審査期間

11月中

 

表彰式

※法律・倫理講習、技術講習は、それぞれ8月7日・26日・27日に開催される講習のうちいずれか1回の受講が必須です。

講習会

①初心者向け講習会
「情報セキュリティ
分析(入門)」
(普遍教育科目・
 教養展開科目)

日時
・場所

6月13日(木) 16:10~17:40(5時限)
 総合校舎5号館 G5-10教室
以降、毎週木曜5時限実施(全8回)

概要

情報セキュリティ調査や、脆弱性調査及びその調査報告書の作成についての基礎的な講習です。
まずはここで講習を受けてから本講習会への参加を判断頂いても構いません。
※履修登録していなくても、希望する場合は受講が許可されます。
※受講は任意です。

講師

今泉貴史 統合情報センター教授
佐藤元彦 大学運営基盤機構情報環境部門准教授(伊藤忠商事株式会社 ITCCERT上席サイバーセキュリティ分析官)

注)以下、②.③の両方を受講しないとハンターライセンスは交付されません。

② 法律・倫理講習
「情報セキュリティ
分析(実践)」
(普遍教育科目・
 教養展開科目)

日時
・場所

8月7日(水)8:50~10:20
8月26日(月)8:50~10:20
8月27日(火)8:50~10:20
 統合情報センター2階 情報演習室2

概要

刑法、不正アクセス禁止法、事例紹介などについて講習を行います。
※履修登録していなくても、希望する場合は受講が許可されます。
※26日・27日は7日の講習をビデオ上映します。いずれか一回の受講が必須です。

講師

大熊隆志 千葉県警察本部 サイバー犯罪対策課 サイバー犯罪特別捜査官 警部補

③ 技術講習
「情報セキュリティ
分析(実践)」
(普遍教育科目・
 教養展開科目)

日時
・場所

8月7日(水)10:30~16:00
8月8日(木)8:50~16:00(参加自由)
8月26日(月)10:30~16:00
8月27日(火)10:30~16:00
 統合情報センター2階 情報演習室2

概要

実践的な脆弱性調査方法、報告書作成方法などについて講習を行います。
※履修登録していなくても、希望する場合は受講が許可されます。
※8日は実習が中心となります。受講は任意です。
※26日・27日は7日の講習をビデオ上映します。いずれか一回の受講が必須です。

講師

8月7日・26日・27日 長谷川陽介氏
(株式会社セキュアスカイ・テクノロジー)
8月8日 今泉貴史 統合情報センター教授

コンテスト参加に必要なツール

パソコンはご自身のものを使ってください。(大学では用意しません)
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。

検査対象のウェブサイト

今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイト、また外部の協力機関のウェブサイトを検査対象とする予定です。詳しくは後日発表します。

レポートの提出について

コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは有識者により審査を行い、優秀者は表彰します。

なお、セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。

また、昨年度の審査基準は以下のとおりです。(今年度は変更になる場合があります)
(a) 網羅的に調査している
(b) ツールによる検査結果だけでなく、手動で検証している
(c) 目の付け所が良い
(d) 重大な脆弱性を見つけた
(e) 脆弱性が無かった箇所について、適切に指摘している
(f) 脆弱性が与える影響まで考察している
(g) レポートが分かりやすく書かれている

表彰

成績優秀者には、情報担当理事より表彰状と副賞が授与されます。

Q & A

何をやるんでしょうか?
指定されたWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。

第2タームの木曜5時限(6/13~)に初心者向け講習会を実施しますので、是非ご参加下さい。

この講習会の受講は任意です。
また、履修登録していなくても受講できます。
参加者のレベルはどのくらいですか?
セキュリティに興味のある学生であれば、どなたでも参加いただけます!勿論、普段CTFに参加しているような上級者の参加は大歓迎です!
チームでの参加の場合、講習会への参加は代表者だけでよいですか?
代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。
どうやってバグを探せばよいのですか?
8/7(水)、8/26(月)、8/27(火) に統合情報センター2階 電算実習室2で開催する技術講習会にてご説明します。
パソコンやツールは大学側から提供されるのでしょうか?
ご自身のパソコンやツールを使ってください。大学では提供しません。
学外から探索できますか?
学外のネットワークから探索することも可能です。
Windows/Linuxについてよくわかりませんが、参加できますか?
Linuxのコマンドが分かると幸せですが、WEBの仕組みさえ分かれば大丈夫です!初心者向け事前講習会に是非ご参加ください!
プログラミングがわかりませんが、参加できますか?
PHP や Javascript がわかると幸せですが、全く出来なくても大丈夫です!
院生ですが、参加できますか?/留学生ですが、参加できますか?
院生の方も留学生の方も参加できます。
教員ですが、参加できますか?
教職員の方の参加はご遠慮ください。
課題の提出が間に合わなかった場合にペナルティなどはありますか?
特にペナルティはありませんが、審査の対象とはなりません。
講習会の参加はできませんが、コンテストへの参加は可能ですか?
「法律・倫理講習」「技術講習」の2つに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
コンテストの内容をブログ等に書いても構いませんか?
コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
参加するとどんな良いことがありますか?
期限内にレポートを提出したすべてのチームに参加賞を進呈するほか、なかなか体験することのできない著名な情報セキュリティ関連企業への会社見学などの特典を予定しています!
また、履歴書に活動実績を書けます。

さらに、最優秀賞(1チーム)、優秀賞・奨励賞(若干チーム)には、山田 賢理事(情報担当)から表彰状及び副賞を授与します。(これも履歴書に書けます!)

参加申し込み及び問い合わせ先

参加申込受付期間
7月1日(月)9:00 ~ 8月4日(日)23:59

申し込み及び問い合わせ先
千葉大学Moodle2019にて受け付けます。

コース名:第4回セキュリティバグハンティングコンテスト(「FD・SD活動」内)
コースコード:2019-@FDSD0009
登録キー:bughu2019
Moodle2019はこちら


  •  ※コース登録やチーム登録はメンバー全員がそれぞれ行ってください。
  •  ※記入ミスや記入漏れは無効扱いとなりますのでご注意ください。
  •  ※講習当日は学生証を持参ください。
  • 過去のコンテスト

    PAGE TOP