第7回千葉大学セキュリティバグハンティングコンテストの結果
- 1 コンテスト実施状況
- 実施期間・・・2022年8月2日~2022年9月19日
- ハンターライセンス取得人数・・・41名(20チーム)
- 実際に脆弱性検査を行い、レポートを提出したチーム数 ・・・12チーム(30名)
- 2 審査結果
- ↑表彰された学生の皆さんと、審査委員長の佐藤さん、金原情報担当理事、コンテスト主催者の梅澤助教
- 参考 審査委員名簿
優秀賞 |
RiST チームメンバー 石田 優希(立命館大学 情報理工学部 情報理工学科 セキュリティ・ネットワークコース・2年) 菅原 颯真(立命館大学 情報理工学部 情報理工学科 セキュリティ・ネットワークコース・4年) 石川 琉聖(立命館大学 情報理工学部 情報理工学科 セキュリティ・ネットワークコース・4年) 石橋 由羽(立命館大学 情報理工学部 情報理工学科・1年) |
| 群青と彗星 チームメンバー 望月 偉央利(工学部・4年) |
|
奨励賞 |
にわか チームメンバー 坂本 翔太(園芸学部・4年) 森田 直樹(法政経学部・4年) |
| スケナオと愉快な仲間たち チームメンバー 伊東 祐直(工学部・2年) 熊田 蓮(工学部・2年) 松﨑 琢真(工学部・2年) |
|
| 無給で無休な警備員 チームメンバー 高須 俊輔(千葉工業大学 情報科学部 情報ネットワーク学科・3年) 中川 瑠之宥(千葉工業大学 情報科学部 情報ネットワーク学科・3年) 佐藤 仁紀(千葉工業大学 情報科学部 情報ネットワーク学科・3年) 長田 拓馬(千葉工業大学 社会システム科学部 金融・経営リスク科学科・3年) |
| 委員名 | 所属 |
阿 部 巧 |
ソフトバンク株式会社 |
大 塚 由梨子 |
サイボウズ株式会社 |
北 原 憲 |
株式会社ラック |
佐 藤 元 彦(審査委員長) |
伊藤忠商事株式会社 |
下 村 正 洋 |
特定非営利活動法人 |
東 内 裕 二 |
三井物産セキュアディレクション株式会社 |
戸 田 洋 三 |
一般社団法人 |
野 渡 志 浩 |
株式会社サイバーエージェント |
長谷川 陽 介 |
株式会社セキュアスカイ・テクノロジー |
松 浦 知 史 |
国立大学法人東京工業大学 |
(氏名非公表) |
千葉県警察本部 |
セキュリティバグハンティングコンテストとは
千葉大学では、昨年度に引き続き学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2022年8月2日から開催いたします。
当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。
本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度(Bug Bounty Program)」をモデルとしています。
- セキュリティバグ報奨金制度(Bug Bounty Program)とは
- ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。
開催目的
昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材(学生)の輩出を目的としています。
参加条件
本学の学生で、8月に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また第2タームに基本的な知識の取得ができる初心者向け講習を開催しますので、経験のない初心者でも参加可能です。
4名までのチームで参加していただきます(1名のチームでも構いません)。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。
実施スケジュール
日程 |
時間 |
内容 |
6月16日(木) |
16:10~17:40 |
「情報セキュリティ分析(入門)」(初心者向け講習) |
7月1日(金) |
9:00~ |
参加受付開始 |
8月1日(月) |
~23:59 |
参加受付終了 |
8月2日(火) |
8:50~16:00 |
「情報セキュリティ分析(実践)」 |
8月4日(木)~ |
千葉大学Moodleにおいて8月2日の授業動画を配信
|
「情報セキュリティ分析(実践)」 |
講習受講終了・ハンターライセンス取得後 |
~23:59 |
セキュリティバグ探索、レポート作成期間 |
9月20日(火) |
|
レポート審査期間 |
11月15日(火) |
16:10~17:10 |
表彰式 |
講習会
①初心者向け講習会
|
|
| 日時 ・場所 |
6月9日(木) 16:10~17:40(5時限) |
| 概要 | 情報セキュリティ調査や、脆弱性調査及びその調査報告書の作成についての基礎的な講習です。 |
| 講師 | 今泉貴史 統合情報センター教授 |
② 法律・倫理講習
|
|
| 日時 ・場所 |
<;対面授業>
|
| 概要 | 8月2日に第3タームの授業として実施します。 |
| 講師 | 西貝 吉晃 大学院社会科学研究院准教授 |
③ 技術講習 |
|
| 日時 ・場所 |
<対面授業>
|
| 概要 | 8月2日に第3タームの授業として実施します。 |
| 講師 | 越智 郁氏
長谷川 陽介氏
|
コンテスト参加に必要なツール
パソコンはご自身のものを使ってください。(大学では用意しません)
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。
検査対象のウェブサイト
今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイトを検査対象とする予定です。詳しくは後日発表します。
レポートの提出について
コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは、セキュリティ関係の業務に携わる学外の有識者による審査を行います。
セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。
また、昨年度の審査基準は以下のとおりです。(今年度は変更になる場合があります)
(a) 網羅的に調査している
(b) ツールによる検査結果だけでなく、手動で検証している
(c) 目の付け所が良い
(d) 重大な脆弱性を見つけた
(e) 脆弱性が無かった箇所について、適切に指摘している
(f) 脆弱性が与える影響まで考察している
(g) レポートが分かりやすく書かれている
表彰
成績優秀者には、情報担当理事より表彰状と副賞が授与されます。
Q & A
- 何をやるんでしょうか?
- 指定されたWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。
第2タームの授業で初心者向け講習会を実施しますので、是非ご参加下さい。
この講習会の受講は任意です。
また、履修登録していなくても受講できます。 - 参加者のレベルはどのくらいですか?
- セキュリティに興味のある学生であれば、どなたでも参加いただけます!勿論、普段CTFに参加しているような上級者の参加は大歓迎です!
- チームでの参加の場合、講習会への参加は代表者だけでよいですか?
- 代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。
- どうやってバグを探せばよいのですか?
- 第3タームに開催する技術講習会にてご説明します。
- パソコンやツールは大学側から提供されるのでしょうか?
- ご自身のパソコンやツールを使ってください。大学では提供しません。
- 学外から探索できますか?
- 学外のネットワークから探索することも可能です。
- Windows/Linuxについてよくわかりませんが、参加できますか?
- Linuxのコマンドが分かると幸せですが、WEBの仕組みさえ分かれば大丈夫です!初心者向け事前講習会に是非ご参加ください!
- プログラミングがわかりませんが、参加できますか?
- PHP や Javascript がわかると幸せですが、全く出来なくても大丈夫です!
- 院生ですが、参加できますか?/留学生ですが、参加できますか?
- 院生の方も留学生の方も参加できます。
- 教員ですが、参加できますか?
- 教職員の方の参加はご遠慮ください。
- 課題の提出が間に合わなかった場合にペナルティなどはありますか?
- 特にペナルティはありませんが、審査の対象とはなりません。
- 講習会への参加ができなかった場合、コンテストへの参加は可能ですか?
- 「法律・倫理講習」「技術講習」の2つに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
- コンテストの内容をブログ等に書いても構いませんか?
- コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
- 参加するとどんな良いことがありますか?
- 期限内にレポートを提出したすべてのチームに参加賞を進呈します。
また、履歴書に活動実績を書けます。
さらに、最優秀賞(1チーム)、優秀賞・奨励賞(若干チーム)には、金原 恭子理事(情報担当)から表彰状及び副賞を授与します。(これも履歴書に書けます!)
参加申し込み及び問い合わせ先
参加申込受付期間
7月1日(金)9:00 ~ 8月1日(月)23:59
申し込み及び問い合わせ先
千葉大学Moodle2022にて受け付けます。
コース名:第7回セキュリティバグハンティングコンテスト(「FD・SD活動」内)
コースコード:2022-@FDSD0021
登録キー:bughunt2022
Moodle2022はこちら