セキュリティバグハンティングコンテストとは

千葉大学では、昨年度に引き続き学内の情報システムとウェブサイトを対象としたセキュリティバグハンティングコンテストを2024年7月31日から開催いたします。

当コンテストは、指定のウェブサイト上にセキュリティに関わるバグや脆弱性等が存在しないかどうかを、一定の研修を受けた学生がサイトの安全性向上のために調査を実施し、腕を競うコンテストです。

本コンテストは、海外の多くの企業が導入し、日本でも一部の企業が導入を始めている「セキュリティバグ報奨金制度(Bug Bounty Program)」をモデルとしています。

セキュリティバグ報奨金制度(Bug Bounty Program)とは
ルールに則って、ウェブサイトやネットワーク上でセキュリティに関わるバグや脆弱性等の問題点を発見した人に報奨金を支払う制度のこと。

開催目的

昨今のサイバー攻撃に対し、人材不足とされる情報セキュリティの分野において、セキュリティの技術だけでなく、法律・倫理の知識を併せ持つ優れたセキュリティ人材(学生)の輩出を目的としています。

参加条件

本学の学生で、7月31日に開催される講習会を受講して「ハンターライセンス」を授与された方であればどなたでも参加いただけます。昨年度のハンターライセンスでは参加できません。今年度のものを取得しなおしてください。また第2タームに基本的な知識の取得ができる初心者向け講習を開催しますので、経験のない初心者でも参加可能です。

4名までのチームで参加していただきます(1名のチームでも構いません)。
チームで協力してバグを探してください。
※表彰、副賞及び参加賞の授与は、チームに対して行われます。

他大学の方につきましては、Q & A の こちら の項目をご参照ください。

実施スケジュール

日程

時間

内容

6月6日(木)
以降毎週木曜
5時限実施
(全8回)

16:10~17:40
(5時限)

「情報セキュリティ分析(入門)」(初心者向け講習)
シラバス
※受講自由

7月1日(月)

9:00~

参加受付開始

7月29日(月)

~23:59

参加受付終了

7月31日(水)

10:30~17:40
(2~5時限)【対面】

「情報セキュリティ分析(実践)」
法律・倫理講習
技術講習
シラバス
※受講必須

8月2日(金)~
9月23日(月)

千葉大学Moodleにおいて7月31日の授業動画を配信【オンデマンド】
※7月31日の授業を未受講でも、配信動画を期間内に全て視聴することでハンターライセンスを取得可能

※授業動画は9月23日まで視聴可能

講習受講終了・ハンターライセンス取得後
~9月30日(月)

~23:59

セキュリティバグ探索、レポート作成・受付期間

10月1日(火)
~10月31日(木)

 

レポート審査期間

11月25日(月)

 

表彰式(表彰対象チームのみの参加となります。個別にご連絡します。)

講習会

①初心者向け講習会
「情報セキュリティ分析(入門)」
(普遍教育科目・教養展開科目)
日時
・場所

6月6日(木) 16:10~17:40(5時限)
総合校舎 G3-11教室
以降、毎週木曜5時限実施(全8回)
概要

第2タームの授業(対面・メディア授業)として実施します。
情報セキュリティ調査や、脆弱性調査及びその調査報告書の作成についての基礎的な講習です。
まずはここで講習を受けてから本講習会への参加を判断頂いても構いません。
※履修登録していなくても、希望する場合は受講が許可されます。
※受講は任意です。
講師

今泉 貴史 情報戦略機構教授

注)以下、②.③の両方を9月23日までに受講しないとハンターライセンスは交付されません。  受講方法の詳細は、千葉大学moodleのコンテスト用コースにてご案内します。

② 法律・倫理講習
「情報セキュリティ
分析(実践)」
(普遍教育科目・
 教養展開科目)
日時
・場所

<対面授業>
7月31日(水) 10:30~12:00(2時限)
情報戦略機構2F 電算実習室2

<オンデマンド授業>
7月31日(水)~9月23日(月)
視聴方法:千葉大学Moodleのコンテスト用コースで公開します。
概要

7月31日に第3タームの授業として実施します。
刑法、不正アクセス禁止法、事例紹介などについて講習を行います。
※履修登録していなくても、希望する場合は受講が許可されます。
※7月31日の対面授業、Moodleで配信されるオンデマンド授業いずれかの受講が必須です。
講師

西貝 吉晃 大学院社会科学研究院准教授

③ 技術講習
「情報セキュリティ
分析(実践)」
(普遍教育科目・
 教養展開科目)
日時
・場所

<対面授業>
7月31日(水) 12:50~17:40(3~5時限)
情報戦略機構2F 電算実習室2

<オンデマンド授業>
7月31日(水)~9月23日(月)
視聴方法:千葉大学Moodleのコンテスト用コースで公開します。
概要

7月31日に第3タームの授業として実施します。
実践的な脆弱性調査方法、報告書作成方法などについて講習を行います。
※履修登録していなくても、希望する場合は受講が許可されます。
※7月31日の対面授業、Moodleで配信されるオンデマンド授業いずれかの受講が必須です。
講師

越智 郁氏
(freee株式会社)
長谷川 陽介氏
(株式会社セキュアスカイ・テクノロジー)

コンテスト参加に必要なツール

パソコンはご自身のものを使ってください。(大学では用意できませんので、ご了承ください。)
脆弱性を検証するツールについても自身で用意されたツールを使用して頂いて構いません。

検査対象のウェブサイト

今回のコンテストのために特別に用意されたウェブサイトと、学内で実際に運用している特定のウェブサイトを検査対象とする予定です。詳しくは後日発表します。

レポートの提出について

コンテスト参加チームには、検査した結果をレポートとして提出してもらいます。
提出されたレポートは、セキュリティ関係の業務に携わる学外の有識者による審査を行います。

セキュリティバグを発見できなかった場合でも、調査を行った範囲に関してサーバに問題がなかった点をレポートしていただければ審査の対象となります。

また、昨年度の審査基準は以下のとおりです。(今年度は変更になる場合があります)
(a) 網羅的に調査している
(b) ツールによる検査結果だけでなく、手動で検証している
(c) 目の付け所が良い
(d) 重大な脆弱性を見つけた
(e) 脆弱性が無かった箇所について、適切に指摘している
(f) 脆弱性が与える影響まで考察している
(g) レポートが分かりやすく書かれている

表彰等

成績優秀者には、情報担当理事より表彰状と副賞が授与されます。
また、レポート提出者の中から希望者に対し、著名な情報セキュリティ関係企業のインターンシップも計画しております。

Q & A

何をやるんでしょうか?
指定されたWEBサイトにセキュリティ上のバグがないかどうかを皆さんに調べてもらい、レポートにまとめていただくものです。
参加者のレベルはどのくらいですか?
参加者のレベルは初心者の方からCTFに参加するような上級者まで様々です。セキュリティに興味のある学生であれば、どなたでも参加いただけます!

※CTF(Capture The Flag,旗取りゲーム)とは,何らかの方法で隠された文字列(Flag)を,情報セキュリティに関する知識を使って見つけ出し,時間内に獲得した合計点数を競うハッキングコンテストを指します。

第2タームの授業で初心者向け講習会を実施しますので、是非ご参加下さい。
この講習会の受講は任意です。
また、履修登録していなくても受講できます。
チームでの参加の場合、講習会への参加は代表者だけでよいですか?
代表者以外も受講を完了してメンバー全員がハンターライセンスを取得しないと参加できません。
どうやってバグを探せばよいのですか?
第3タームに開催する技術講習会にてご説明します。
パソコンやツールは大学側から提供されるのでしょうか?
パソコンやツールについては、ご自身のチームの中で必要な台数をご用意ください。ツールについては、「情報セキュリティ分析(実践)」の講義で紹介します。
学外から探索できますか?
学外のネットワークから探索することも可能です。
Windows/Linuxについてよくわかりませんが、参加できますか?
Windows/Linuxがよく分からなくても参加できますが、情報セキュリティ(入門編)からご参加いただくことが望ましいです。
プログラミングがわかりませんが、参加できますか?
プログラミングが分からなくても参加できますが、情報セキュリティ(入門編)からご参加いただくことが望ましいです。
院生ですが、参加できますか?/留学生ですが、参加できますか?
院生の方も留学生の方も参加できます。
他大学の学生なのですが、参加できますか?
他大学の学生さんでも、「情報セキュリティ分析(実践)」(対面/オンデマンド)を受講してハンターライセンスを取得していただければ、参加することができます。Moodleのゲストアカウントを発行しますので、他大学の学生さんも 対面/オンデマンド どちらの形態であっても「情報セキュリティ分析(実践)」の授業を受けることができます。

なお、参加申込につきましては、こちら をご参照ください。
教員ですが、参加できますか?
教職員の方の参加はご遠慮ください。
課題の提出が間に合わなかった場合にペナルティなどはありますか?
特にペナルティはありませんが、審査の対象とはなりません。
講習会への参加ができなかった場合、コンテストへの参加は可能ですか?
「法律・倫理講習」「技術講習」の2つに参加することで参加資格が得られますので、講習会に参加できない場合は、コンテストへの参加は認められません。
コンテストの内容をブログ等に書いても構いませんか?
コンテスト周知用ウェブサイトに掲載されている情報等、既に公知となっている情報についてブログ等に記載することは問題ありません。ただし、本コンテストを通じて知り得た「未公開の脆弱性情報」については、コンテストの実施期間中であるか否かを問わず、C-csirtの許可を得ずに第三者に開示、公開、漏えいしてはいけません。違反した場合は、ハンターライセンスが剥奪され、表彰及び副賞を授与済みであった場合にはそれらを返還するものとします。さらに、場合によっては攻撃行為とみなされ、刑事罰の対象にもなり得ますので、絶対に行わないでください。
参加するとどんな良いことがありますか?
期限内にレポートを提出したすべてのチームに参加賞を進呈します。履歴書に活動実績を書けます。
また、以下のような特典があります。
①最優秀賞(1チーム)、優秀賞・奨励賞(若干チーム)には、後藤 弘子理事(情報担当)から表彰状及び副賞を授与します。(これも履歴書に書けます!)
②レポート提出者の中から希望者に対し、著名な情報セキュリティ関係企業のインターンシップの実施も検討しております。

参加申し込み及び問い合わせ先

参加申込受付期間
2024年7月1日(月)9:00 ~ 7月29日(月)12:00

申し込み及び問い合わせ先


千葉大学Moodleにて受け付けます。

コース名:第9回セキュリティバグハンティングコンテスト(「FD・SD活動」内)
コースコード:2024-@FDSD00028
千葉大学Moodleはこちら


★他大学で本コンテストに参加したい方へ
本コンテストでは、千葉大学以外の大学の学生が参加することも可能です!
他大学の学生で本コンテストに参加したい方は、こちらからお申し込みください。
ただし、参加は、原則として、以下の1.~3.の条件をすべて満たす場合に限らせていただきますので、あらかじめご了承願います。

  • 1.1大学につき、参加できるチームは1チームまでとする。(2チーム以上参加させたい場合は要相談)
  • 2.1チームあたりの参加人数は4名までとする。
  • 3.千葉大学より、参加する学生の指導教員と連絡をとることが可能である。

<問い合わせ先>
千葉大学情報危機対策チーム/C-csirt
Mail: c-csirt [アットマーク] chiba-u.jp

過去のコンテスト