バウンティハンターになろう !2016

東内裕二 A.K.A. 山本洋介山（ NTT コミュニケーションズ）

自己紹介 山本洋介山（@yousukezan）です。 AVTokyo2013.5で「バウンティハンターになろう」というお話をさせていただきました。 それから 3年弱。 世界のバグバウンティ事情と俺のバグバウンティ事情についてお話しますよ。

2013.5で話をした時のわたくし ハッカージャパンと他のお仕事が立て続けに終了。某所からクソみたいな提案がきてライター業に見切りをつけた時期 運よく Yahoo!にある XSSの巣を見つける講演の前日に Yahoo!から＄がもらえる連絡がやってきた これはバグバウンティハンターとして生きていけるのでは！？ 運良くか悪くか派遣社員として働き始めていたので専業は断念

2016年のわたくし 会社員としてWebの脆弱性検査に従事 アラフォーでようやくレールに乗れてよかった！ 引き続きゆるゆるバグハントもしてる

2016年の世界のバグハント事情 Googleも Facebookも Yahoo!もそんなに簡単にバグは見つからなくなってる HackerOneには twitter、 Dropbox、 Slack、 Adobe、 Square、 GitHub、 Uberとかが参加している 今年の世界の流行りは Uberっぽい バグを探している人はインド系がいっぱい（ HackerOneの上位とかすごい） あとロシア系が多い（ Yandex、mail.ruを筆頭に報奨金プログラムがあるサイトも多い） 報奨金もそこそこ（ XSS1件 100～ 500ドルくらいが多い）で思ったほど盛り上がってないよ HackerOneの調査（ https://hackerone.com/blog/bug-bounty-hacker-report-2016）によると 5万ドル以上稼げている人は 100人いない これだけで生きていくにはまだ相当な能力と運が必要

2016年日本のバグハント事情 この 3年で日本でも報奨金が支払われる会社が出てきた 日本語で報奨金が稼げるのはサイボウズ、 LINE、 BugBounty.jp

サイボウズは現在一番レートがいい◦ リモートコード実行で 30万（ CVSS 10.0*1万 *3）◦ XSSだと 60000円くらい

LINEはわかんない BugBounty.jpは脆弱性報告プラットフォーム

◦ Pixiv、 baidu、 gumi、 Avexなどが参加◦ 報奨金は企業によるけど 5000～ 300000円くらい◦ Pixivの XSSで 1件 10000円だった

世界的には知名度が低いのでこっちの方が難易度低い

意外とバグバウンティは甘くない 運よく Googleと Yahoo!の XSSに遭遇して報奨金ゲッターの仲間入りしたものの… ポケモン GOと違って脆弱性の巣はすぐに掘りつくされる 普通の脆弱性はほかの誰かも見つけている

◦ duplicateの嵐◦ 仕事しててよかった

どうやったら報奨金を稼げるかもう一度考えてみよう

日本のスタープレイヤーに倣いたい KinugawaMasato

◦ 毎年たくさん稼いでる（元？）専業バグバウンティハンター◦ XSSにめっちゃ詳しい（海外で XSS Kingと呼ばれている）

にしむねあ◦ 主に Firefoxの脆弱性を探して 1000万くらい稼いでる◦ 朝 4時に起きて仕様書とソースコードを読み続ける常人には理解できないスタイル

特殊能力：一般人には見つけられないような脆弱性を見つけられる ロールモデルとしては…無理

生まれ変わってから目指したい

俺はもっと楽して報奨金をいただきたいんだよ！ 日本のスーパーハッカーのことは忘れて、世界に目を向けて報奨金をもらった報告を参考にすることに 世界のとにかくお金が好きなバグハンターの戦略

◦ 小さな脆弱性でも気にせず大げさに報告する◦ バウンティが認められるまでごねてみる◦ 大切なことは報奨金をわが手にしたいという強い気持ち！！！

もっと気軽に稼いだ例もあるじゃないか！ これなら俺にもできるかも！

報奨

金を

稼ぎ

たい

僕の考えたさいきょうの報奨金戦略

ということでチャレンジ・ザ・報奨金再びこれって脆弱性と思うような事象、攻撃の可能性が低い脆弱性でも恥ずかしいと思わずに堂々と報告することにしてみた竹やりで突撃してみると意外と報奨金がもらえることがわかった

こんな脆弱性でお金がもらえた2016

1.リモートデスクトップの問題 2.SMTPの問題 3.クリックジャッキングの問題 CSRFのトークンがなぜか漏れてた問題る←デグレしてたので説明できない

1.リモートデスクトップサービスからのユーザー名列挙 どこかで paypalのリモートサービスのポートが開いててリモートコード実行できたレポートを見る たまたま別の脆弱性を見つけた paypal-●●.comに対してリモートデスクトップで接続してみる ログイン画面が出てくるやん！ ユーザー名が列挙されてるやん！ paypal-●●.com の軽微な脆弱性は 100ドルなので 100ドルゲット 翌年再度アクセスするとまた出てくる！ また 100ドルゲット

nmapした

リモートデスクトップ接続してみた

2.SMTPの VRFYコマンドによるユーザー名列挙 Yahoo!

Shodanが話題だったので暇つぶしに shodanを見る Yahoo!を検索するとなぜか VRFYが機能している SMTPサーバーがいっぱい 本当に VRFYが動いてるんだ！

3.クリックジャッキングの危険性 ただ HTTPレスポンスヘッダに X-Frame-Optionsが設定されていないというだけ わりと有名サイト（ Private） どこかでお金をもらっているレポートを見つけたのを見つけたので探して送ってみる 大体は duplicateか不受理だったけど… 1件拾われた！

クリックジャッキングの見つけ方（イメージ）

他の人はこんなものでも報奨金をゲット サーバー内のフルパスが見えてる TRACEメソッドが使える X-Content-Type-Optionsヘッダがない SMTPの SPFレコードがない

報奨金をもらった会社 Yahoo!

サイボウズ paypal

mixi

そのほか 今年はサイボウズでいろいろ見つけたよ！

おわり 報奨金は主に 2匹のご飯代と先日お亡くなりになった給湯器になりました ぼくでも稼げるのでやり方を考えると多少能力が低くても稼げる可能性はあるよ！ レッツハンティング！