ハッカーの見方を変えることで認識が変わります
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
Intigritiをご存知の方なら、Intigritiがバグハンターのイラストを描いていることはご存じでしょうか。今回の記事では、Intigritiがバグハンターのイラストを描く理由、イラストレーターの紹介、イラストレーター自身から創作プロセスについて話を聞いていきます。
目次
Intigritiがバグハンターのイラストを描く理由
Intigritiのバグハンターが優秀な成績を収めたり、リーダーボードで上位に入賞したりすると、イラスト入りのポートレートが贈られます。デジタルだけでなく、ポスターの形で物理的にもお送りしています。
しかし、なぜこのようなことをするのでしょうか。私たちの才能あるイラストレーター、Jeroen Van Zwol(topia)氏は、その理由を以下のように説明しています。
「バグハンターは、表彰台に上がるために懸命に働くその時々のヒーローであり、そう表現されるべきなのです。」
残念なことに、ブラックハットハッカーについての記事を読み、ホワイトハットハッカーの本質を信用できない人がまだまだ大勢いますが、この2つには大きな違いがあります。
ブラックハットハッカーとは、個人的な利益や悪意のために意図的にコンピュータのセキュリティを侵害するエージェントのことです。ホワイトハットハッカーも、悪質なハッカーと同様に、ターゲットのコンピュータシステムに侵入します。しかし、彼らは法律の範囲内で活動し、ターゲット企業の脆弱性開示プログラム(VDP)に記載されている特定のルールに従います。彼らは「エシカル(倫理的)ハッカー」とも呼ばれ、その名の通り強い倫理観を持っています。そして、彼らの目的は、企業のサイバーセキュリティの弱点、欠陥、脆弱性を通知し、サイバー攻撃の可能性を最小化することにあります。
ハッカーに対する認識の変化
そのような中で、バグハンターが悪役ではなく、まるでスーパーヒーローであることを示すことが、私たちにできる最善の方法だと考えました。
スーパーヒーローがそうであるように、バグハンターのコミュニティの多くは、ごく
普通の人々で、隣人や、友人や、同僚や、家族です。ハッカーとしての一面は第二の人格と言えるかもしれません。Intigritiは、このセカンドアイデンティティを擬人化し、具体的な形にする機会をコミュニティに提供したいと思いました。また、このイラストは、Intigritiのコミュニティが持つ遊び心と親密な絆をよりよく表現しています。
多様性の推進
写真ではなくイラストで表現することで、バグハンターのクリエイティブな性質や、ターゲットや報奨金へのアプローチ方法を反映させています。Intigritiのコミュニティは非常に多様であり、同じ方法で活動するバグハンターは2人といないのです。私たちは個性を尊重し、イラストレーターに依頼することで、コミュニティが自分たちの姿やハッキングしているときに感じることを視覚的に表現できるようにしています。
クリエイティブ・プロセス
Intigritiのイラストレーター、Jeroen Van Zwol(topia)氏に、1枚1枚どのように描いているのかお話を伺いました。
「バグハンターの肖像画を描くときは、まず2つのことを考えます。Intigritiから提供された数枚の写真と、その人物に関するちょっとした情報です。その人物の特徴と、バグハンターとしてのオリジナルなビジュアルを組み合わせることで、アーティストとしてクリエイティブな閃きを得ることができるのです。
下記のようなコンセプトでビジュアル化しており、新しくバグハンターを描けることがとても嬉しいです。
- わかりやすい
- 見て楽しい
- 個人の本質をとらえる
- 他の肖像画との調和(つまり、イラストがIntigritiの世界に属しているか)
Intigritiのモダンでハイテクな世界観を見失わないように、温かさと遊び心のある美学を融合させることが重要です。
Intigritiのような国際的な組織では、個人的に会ったりサポートを提供したりすることは、新型コロナウイルスのようなパンデミック時には容易ではありません。しかしながら、この肖像画でコミュニティの団結を助けることができたのは、私の誇りです。イラストが公開されたときのポジティブな反応は、おまけのようなものですね。」
どんな人たちなのか?
Intigritiのトップハッカー4人をご紹介します。
Pieter
所在地:ベルギー
歴代リーダーボード順位:3
職業:専業バグハンター
バグハンターとしての生活はどのようなものですか?
専業でバグハンターとして働き始め、私の一日は普通のサラリーマンと同じような生活リズムになっています。朝起きて、8時間労働を守り、月曜日から金曜日まで働きます。しかし、大きな違いは、何をいつやるかを自分で決められることです。
例えば、あるプログラムについて悩んでいるのなら、別のプログラムに切り替えて挑戦します。また、お金になるプログラムに集中することと、スキルアップや学習、ワークフローの改善などに時間を割くことのバランスも良くなりました。
初めてプログラムを掲載する企業へのアドバイスをお願いします。
簡単にアクセスできるようにしてください。プログラムにアクセスしても、まだ資格が与えられていなかったり、使えない(例えば、会社がIP制限をしているなどの)場合、バグハンターはすぐに興味を失ってしまいます。長い期間にわたって継続的に注目してもらいたいのであれば、適切な報奨金を用意し、より多くの人をプログラムに引きつけることが重要です。
一般企業への最大のアドバイスは何でしょうか?
「これは脆弱に見える 」という反応は、あらゆる種類のWebサイトに対して常に持っています。しかし、私はそれらをターゲットにすることはありません。脆弱性開示ポリシーを導入していない会社の脆弱性を見つけたときは、その会社の脆弱性を知っていながら、それを公開する手段がないため、心苦しくなります。
その点では、企業自身がより頑張る必要があると考えています。
PentesterLand
所在地:モロッコ
バグハンターとしての生活はどのようなものですか?
簡単に言うと、趣味でバグハンターをしています。昼間はIntigritiのBug Bytesというコンテンツでニュースレターを書き、時間を見つけてはバグハンティングをしています。
バグバウンティの報奨金で買った一番魅力的なものは何ですか?
長い間、バグハンティングと仕事で稼いだお金はすべて貯金箱に入れていました。
ですが、初めて自分にご褒美をあげようと思い、Burp Suiteの高度な使い方を学ぶオンサイトトレーニングのチケットを購入して、飛行機のチケットからホテルまですべて予約しました。
バグバウンティプログラムに参加するために、なぜIntigriを選んだのですか?
いくつかのプラットフォームを利用しましたが、Intigritiのトリアージャーが最も効果的で丁寧だと思いました。私たちの質問に丁寧に答えてくれたり、レポートの結果について話し合ったりする人が常駐しています。また、コンテンツ制作者を奨励したり、バグバウンティのヒントを共有したりと、Intigritiがコミュニティのために行っているすべてに感謝しています。会社がバグハンターのことを本当に大切にしていることがわかります。
ハッキングで好きなことは何ですか?
自分が一番難しく怖いと感じるバグクラスにフォーカスして、チャレンジするのが好きです。もし、そのバグを扱えるようになれば、他のことは何でもできるし、学べるからです。
Kuromatae
所在地:フランス
歴代リーダーボード順位 :7
バグバウンティハンターの生活はどのようなものですか?
週に2日、Intigritiのプラットフォームでバグハンティングを行っています。そのおかげで、生活に必要な収入を得ることができ、旅行に行くなど、人生でやりたいことができるようになりました。
ハッキングで好きなことは何ですか?
医療関係の会社をターゲットにするのは、多くの人を助けることに繋がるので好きです。最近、ある病院のために無償でペネトレーションテストをしました。その病院のサイトを15分ほど調べただけで、多くの脆弱性を報告することができました。結果的に、ほとんど時間をかけずに、彼らのデジタル資産の安全を確保する手助けをすることができ、非常によかったです。
最も印象に残っている脆弱性の発見は何ですか?
私が最も早く重大な脆弱性を発見したのは、10秒以内でした。それは、すでにペネトレーションテストを行ったことのある、かなり有名な企業に対するものでした。
Pudsec
所在地:オーストラリア
歴代リーダーボード順位:10
バグバウンティハンターとしての生活はどのようなものですか?
私は、Linuxシステム管理者とPython/PHPソフトウェア開発者としてフルタイムで働いています。家族、スポーツ、仕事と、バグハントのための時間を確保するのは難しいので、今のところ趣味のようなものです。仕事から帰ってきて、子供たちが宿題に夢中になっているときに、バグハンティングをすることが多いです。そして、子供が寝た後に、もう1時間くらいバグハンティングをしています。
ハッキングで気に入っている点は?
初めてやったバグはとても面白かったです!
あるターゲットでブラウジングしていたところ、認証にGoogleのシングルサインオンを使っている従業員用のプライベートポータルを発見しました。Gmailのアカウントでログインしようとしたのですが、無効なドメインであるとして失敗してしまいました。その後、送信されたリクエストをチェックすると、私のGmailアドレスを平文で送信していることが分かりました。そこで、もう一度ログインしてみることにしたのですが、今度はリクエストを傍受して、「pudsec@」+会社のメールドメインに変更しました。
(’pudsec@CompanyName.com’。のように)すると、その会社のクライアントポータルにログインすることに成功し、その会社のすべてのクライアントデータにアクセスできるようになりました。
バグバウンティの報奨金で購入した最も魅力的なものは何ですか?
報酬金で得たお金は、そのまま私の子供の教育費に充てています。これ以上魅力的なものはありません。
バグバウンティプログラムに参加するために、なぜIntigritiを選んだのですか?
Intigritiはトリアージがとても速く、ポジティブで励みになるコメントをしてくれるからです。特に私がまだバグバウンティの世界に入ったばかりだった頃は、本当に励みになりました。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
