セキュリティバグハンティングコンテスト2020

第6回千葉大学セキュリティバグハンティングコンテストの結果

1 コンテスト実施状況: 実施期間･･･2021年8月3日～2021年9月20日; ハンターライセンス取得人数･･･39名（29チーム）; 実際に脆弱性検査を行い、レポートを提出したチーム数･･･15チーム（23名）
2 審査結果: ↑表彰された学生の皆さん（前列左から、チーム名「FFT」の山田さん、コンテスト主催者の今泉副理事、金原理事、審査委員長の長谷川さん、「地力不足」の望月さん、中列左から「AbisRunner」の姉歯さん、桜井さん、「今年も頑張る」の長谷川さん、「Unknown」の伊東さん、後列左から「CIT-FourS」の岡本さん、菅澤さん、新海さん、釼持さん）
参考審査委員名簿

（五十音順、敬称略）
委員名	所属
阿　部　　巧	ソフトバンク株式会社テクノロジーユニット技術管理本部
大　塚　由梨子	サイボウズ株式会社開発本部 PSIRT
岡　島　麗　奈	株式会社サイバーエージェントシステムセキュリティ推進グループセキュリティコンサルタント
北　原　　憲	株式会社ラックサイバーセキュリティサービス統括部デジタルペンテストサービス部　担当部長
（氏名非公表）	千葉県警察本部生活安全部サイバー犯罪対策課
下　村　正　洋	特定非営利活動法人日本ネットワークセキュリティ協会事務局長
東　内　裕　二	三井物産セキュアディレクション株式会社テクニカルサービス事業本部　プロフェッショナルサービス事業部診断サービスグループ　セキュリティエンジニア
戸　田　洋　三	一般社団法人 JPCERT コーディネーションセンター早期警戒グループ
長谷川　陽　介（審査委員長）	株式会社セキュアスカイ・テクノロジー CTO研究開発部部長
松　浦　知　史	国立大学法人東京工業大学学術国際情報センター准教授東工大CERT 統括責任者

セキュリティバグハンティングコンテストとは

千葉大学では、昨年度に引き続き学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2021年8月3日から開催いたします。

当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。

本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度（Bug Bounty Program）」をモデルとしています。

セキュリティバグ報奨金制度（Bug Bounty Program）とは: ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。

開催目的

昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材（学生）の輩出を目的としています。

参加条件

本学の学生で、8月に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また第2タームに基本的な知識の取得ができる初心者向け講習を開催しますので、経験のない初心者でも参加可能です。

4名までのチームで参加していただきます（1名のチームでも構いません）。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。

実施スケジュール

日程	時間	内容
第2タームの授業（普遍教育）として実施	千葉大学Moodleによるオンデマンド型メディア授業	「情報セキュリティ分析（入門）」（初心者向け講習） ※受講自由
7月1日（木）	9:00～	参加受付開始
8月2日（月）	～23:59	参加受付終了
8月3日（火）～ 9月6日（月）	～23:59 千葉大学Moodleによるオンデマンド型メディア授業 ※期間内に受講を完了した者に限り、ハンターライセンスを発行 ※授業動画は9月20日まで視聴可能	「情報セキュリティ分析（実践）」法律・倫理･技術講習
講習受講終了・ハンターライセンス受領後～9月20日（月）	～23:59	セキュリティバグ探索、レポート作成期間
9月21日（火）～10月中旬		レポート審査期間
11月中		表彰式

講習会

①初心者向け講習会「情報セキュリティ分析（入門）」（普遍教育科目・　教養展開科目）
	概要	第2タームの授業（メディア授業）として実施します。情報セキュリティ調査や、脆弱性調査及びその調査報告書の作成についての基礎的な講習です。まずはここで講習を受けてから本講習会への参加を判断頂いても構いません。 ※履修登録していなくても、希望する場合は受講が許可されます。 ※受講は任意です。
	講師	今泉貴史　統合情報センター教授佐藤元彦　大学運営基盤機構情報環境部門准教授（伊藤忠商事株式会社 ITCCERT上席サイバーセキュリティ分析官）

注）以下、②．③の両方を9月6日までに受講しないとハンターライセンスは交付されません。
　なお、受講方法の詳細は、千葉大学moodleのコンテスト用コースにてご案内します。

② 法律・倫理講習「情報セキュリティ分析（実践）」（普遍教育科目・　教養展開科目）
	概要	8月に第3タームの授業（Moodleを使用したオンデマンド型メディア授業）として実施します。刑法、不正アクセス禁止法、事例紹介などについて講習を行います。 ※履修登録していなくても、希望する場合は受講が許可されます。 ※期間内であれば、いつでも受講できます。
	講師	西貝　吉晃　大学院社会科学研究院准教授

③ 技術講習「情報セキュリティ分析（実践）」（普遍教育科目・　教養展開科目）
	概要	8月に第3タームの授業（Moodleを使用したオンデマンド型メディア授業）として実施します。実践的な脆弱性調査方法、報告書作成方法などについて講習を行います。 ※履修登録していなくても、希望する場合は受講が許可されます。 ※期間内であれば、いつでも受講できます。また、質問はMoodle内の質問用フォーラムもしくはGoogle Meetで随時受け付けます。
	講師	越智　郁氏（株式会社セキュアスカイ・テクノロジー）

コンテスト参加に必要なツール

パソコンはご自身のものを使ってください。（大学では用意しません）
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。

検査対象のウェブサイト

今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイトを検査対象とする予定です。詳しくは後日発表します。

レポートの提出について

コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは有識者により審査を行い、優秀者は表彰します。

なお、セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。

また、昨年度の審査基準は以下のとおりです。（今年度は変更になる場合があります）
(a) 網羅的に調査している
(b) ツールによる検査結果だけでなく、手動で検証している
(c) 目の付け所が良い
(d) 重大な脆弱性を見つけた
(e) 脆弱性が無かった箇所について、適切に指摘している
(f) 脆弱性が与える影響まで考察している
(g) レポートが分かりやすく書かれている

表彰

成績優秀者には、情報担当理事より表彰状と副賞が授与されます。

Q & A

何をやるんでしょうか？: 指定されたWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。

第2タームのメディア授業で初心者向け講習会を実施しますので、是非ご参加下さい。

この講習会の受講は任意です。
また、履修登録していなくても受講できます。
参加者のレベルはどのくらいですか？: セキュリティに興味のある学生であれば、どなたでも参加いただけます！勿論、普段CTFに参加しているような上級者の参加は大歓迎です！
チームでの参加の場合、講習会への参加は代表者だけでよいですか？: 代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。
どうやってバグを探せばよいのですか？: 第3タームに開催する技術講習会にてご説明します。
パソコンやツールは大学側から提供されるのでしょうか？: ご自身のパソコンやツールを使ってください。大学では提供しません。
学外から探索できますか？: 学外のネットワークから探索することも可能です。
Windows/Linuxについてよくわかりませんが、参加できますか？: Linuxのコマンドが分かると幸せですが、WEBの仕組みさえ分かれば大丈夫です！初心者向け事前講習会に是非ご参加ください！
プログラミングがわかりませんが、参加できますか？: PHP や Javascript がわかると幸せですが、全く出来なくても大丈夫です！
院生ですが、参加できますか？/留学生ですが、参加できますか？: 院生の方も留学生の方も参加できます。
教員ですが、参加できますか？: 教職員の方の参加はご遠慮ください。
課題の提出が間に合わなかった場合にペナルティなどはありますか？: 特にペナルティはありませんが、審査の対象とはなりません。
講習会への参加ができなかった場合、コンテストへの参加は可能ですか？: 「法律・倫理講習」「技術講習」の２つに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
コンテストの内容をブログ等に書いても構いませんか？: コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
参加するとどんな良いことがありますか？: 期限内にレポートを提出したすべてのチームに参加賞を進呈するほか、なかなか体験することのできない著名な情報セキュリティ関連企業への会社見学などの特典を予定しています！
また、履歴書に活動実績を書けます。

さらに、最優秀賞（１チーム）、優秀賞・奨励賞（若干チーム）には、山田　賢理事（情報担当）から表彰状及び副賞を授与します。（これも履歴書に書けます！）

参加申し込み及び問い合わせ先

参加申込受付期間
7月1日（木）9:00 ～ 8月2日（月）23:59

申し込み及び問い合わせ先
千葉大学Moodle2021にて受け付けます。

コース名：第6回セキュリティバグハンティングコンテスト（「FD・SD活動」内）
コースコード：2021-@FDSD0021
登録キー：bughunt2021
Moodle2021はこちら

過去のコンテスト

C-csirtのページへ戻る

最優秀賞	地力不足チームメンバー望月偉央利（工学部・3年）
優秀賞	今年も頑張るチームメンバー長谷川直哉（融合理工学府･2年）
優秀賞	CIT-FourS チームメンバー菅澤真志（千葉工業大学情報科学部情報ネットワーク学科・4年）釼持祥希（千葉工業大学情報科学部情報ネットワーク学科・3年）新海龍二（千葉工業大学情報科学部情報ネットワーク学科・3年）岡本昇（千葉工業大学情報科学部情報ネットワーク学科・3年）
奨励賞	FFT チームメンバー山田悠平（工学部・2年）
	Unknown チームメンバー伊東祐直（工学部・1年）
	AbisRunner チームメンバー姉歯幸村（電気通信大学　情報理工学域・3年）桜井秀憲（電気通信大学　情報理工学域・3年）

①初心者向け講習会「情報セキュリティ分析（入門）」（普遍教育科目・　教養展開科目）
	概要	第2タームの授業（メディア授業）として実施します。情報セキュリティ調査や、脆弱性調査及びその調査報告書の作成についての基礎的な講習です。まずはここで講習を受けてから本講習会への参加を判断頂いても構いません。 ※履修登録していなくても、希望する場合は受講が許可されます。 ※受講は任意です。
	講師	今泉貴史　統合情報センター教授佐藤元彦　大学運営基盤機構情報環境部門准教授（伊藤忠商事株式会社 ITCCERT上席サイバーセキュリティ分析官）

③ 技術講習「情報セキュリティ分析（実践）」（普遍教育科目・　教養展開科目）
	概要	8月に第3タームの授業（Moodleを使用したオンデマンド型メディア授業）として実施します。実践的な脆弱性調査方法、報告書作成方法などについて講習を行います。 ※履修登録していなくても、希望する場合は受講が許可されます。 ※期間内であれば、いつでも受講できます。また、質問はMoodle内の質問用フォーラムもしくはGoogle Meetで随時受け付けます。
	講師	越智　郁氏（株式会社セキュアスカイ・テクノロジー）