【バグハンターインタビュー】p4fg

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

この【バグハンターインタビュー】シリーズでは、Intigritiのコミュニティメンバーの中から、素晴らしい実績や変わった方法論、コミュニティへの貴重な貢献をした方にお話を伺っています。今回は、スウェーデンのPeter氏にお越しいただきました。

ハンドルネームはp4fgで、ニンジャ・スポンジボブのアバターが目印です。

Peterさん、こんにちは。あなた自身について、またバグバウンティハンターになった経緯について教えてください。

こんにちは!

43歳、バグバウンティコミュニティにおける灰色ヒゲのを持つキャラクターの一人、Peterです。2人の子供がいて、現在スウェーデンに住んでいます。

私が初めてバグバウンティのプログラムを把握したのは、ヨーテボリで開催されたスウェーデンのセキュリティカンファレンス「Security Fest」で、Frans Rosén (@fransrosen) が発表したときでした。その後1、2年は自分の中でバグバウンティのプロジェクトに参加するか迷っていたのですが、いつも頭の片隅にありました。そして、「1年間、自分がやっていけるかどうか試してみよう」と思ったんです。

最初の数カ月は驚きの連続で、想像以上に大変でした。ごく初期の頃のレポートは、あまり自慢できるものではありませんが、これも学習の一環だと考えています。

過去に親友であるSTÖK（@stokfredrik）にSlackで不満をぶちまけたことを覚えていますがその時、彼はとても親切で「電話してくれ」と言ってくれただけでした。私たちは長い間チャットをして、自分が次に何をすべきなのか、気持ちを整理することができました。最初の1年はあっという間で、私はただ学び、ハッキングを続けたいと思うようになりました。

ライブハッキングイベントは、私の最大のモチベーションのひとつです。世界のトップハッカーと出会い、意見を交わすことは、とても楽しいことです。ライブイベントが再開されるよう、現在のパンデミックが沈静化することを祈っています。

では、今はどのような生活を送っているのでしょうか。バグハンティングをフルタイムでやっているのか、それとも趣味でやっているのか、そしてそれはあなたの生活にどのようにフィットしているのでしょうか？

現在、バグハンティングしかしていません。好きなときに、好きなだけ（あるいは必要なだけ）仕事ができて、僕の生活にぴったりなんです。

どのようにターゲットにアプローチしますか？決められた手順に従っていますか？考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか？あるいはそれ以外の方法でしょうか？

私は一つのターゲットにアプローチするとき、まずすべての機能とエンドポイントをマップ化するようにしています。また、少し違和感のあるものを探します。私は以前、20年以上にわたってソフトウェア開発者・設計者として働いてきたため、「匂い」を感じることができます。そういうものは、ほとんどの場合、興味深く、やりがいがあります。

バグハントで重要な役割を果たすのは偵察ですか？また、それはあなたにとってどのようなものですか？

私のバグハントには偵察が欠かせませんが、自動偵察より手動偵察の方がずっとやりがいがあります。最初は偵察エンジンを書いていたのですが、それがかなり高度な自動化フレームワークとなり、現在3回目か4回目の書き換えを行っているところです。

最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。

お気に入りの脆弱性とは言いませんが、クロスサイトスクリプティングの脆弱性はたくさん報告しています。

あなたの強みはどのようなものですか？どのような種類のツールを頼りにしていますか、どのようにそれらを選択していますか、そしてあなたのお気に入りはどれでしょうか？

日々の仕事のほとんどは、Burp Suiteで行っています。

自動化について説明してもらいましょう。多くのハッカーは、偵察、大規模テスト、さらにはサブドメイン乗っ取りなどのバグの自動報告などに活用していますが、手動テストでしか発見できないようなロジックや高度なバグに焦点を当てたいという人もいます。自動化について、あなたはどのようにお考えでしょうか？また、それに時間を費やす価値があると思いますか？

私は自動化を多用しています。私は偵察のフレームワークを作り始め、それが自動化フレームワークに変化していきました。ほとんどがPythonで書かれていて、一部node.jsも統合されています。

Twitterの引用にこんなのがあります。

「ひとと同じ道具を使えば、ひとと同じ結果が得られる。」

その通りだと思いますので、皆さんもぜひ自分のツールを作って、あるいはカスタマイズしてみてください。

私の自動化フレームワークは、私のワークフローに非常に適合したもので、かなりリソースを消費します。クラウドで動かすとコストがかかりすぎるため、フレームワーク全体はセルフホスティングのブレードサーバーで動かしています。

Intigriti限定の企画として、私のサーバールームを開放し、私の自動化フレームワークを動かしているものをコミュニティの皆さんにこっそり見ていただくことにしました。

これは、約40台のHPブレード・サーバーが24時間365日稼働し、トラブルを探してインターネット上を歩き回っているところです。

毎週何時間くらいバグハントをしているのですか？

ターゲットにもよりますが、20時間から40時間といったところでしょうか。

バグハントについて、過去の自分にアドバイスするとしたら？

インパクトのある概念実証を示せないなら、レポートを送らないで常に利害関係者にビジネスインパクトを示すよう努力することで、下記のように伝えたいです。

 – なぜ、これが重要なのか？

 – それがどのようにビジネスケースに影響を与えるのか？

バグハンターが直面する大きなハードルのひとつに、情報の過多があります。攻撃やツールの進化のスピードに、どのようについていけばいいのでしょうか。また、情報量の多さに圧倒されている初心者の方に、どのようなことを伝えたいのでしょうか。

初心者の方には、「少なくとも少しはコードを勉強してください。裏側で何が起きているのかを理解するのに役立ちますし、より深刻なバグを見つけようとするときにはさらに重要になります」と伝えたいです。基本的な自動化以外のことをしたいのであれば、これは学ぶべき最も重要なことの1つです。

情報過多に関しては、難しいところです。ほとんどのことがTwitterに流れてくるので、おそらくそれが私の主な情報源のひとつです。何が重要で何がそうでないかをフィルターにかけるのがコツです。私は、S/N比の高い人をフォローするようにしています。

報奨金で購入した、一番魅力的なものは何ですか？

今、家族のためにプールを作っています。夏が始まる前に完成させたいと思っています

メンターであれ、コミュニティメンバーであれ、あなたがエールを送りたいバグハンターは誰ですか？

STÖK（@stokfredrik）には、大変なときに続けるモチベーションを与えてくれたことに大きな敬意を表します。

バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由を教えてください。

ほぼ全ての主要なプラットフォームでバグハントを行っていますが、Intigritiは他よりも家族的な感覚があります。Intigritiのスタッフは常にslackで質問を受け付けていて、いつもとても親切に対応してくれます。

インタビューに答えていただき、ありがとうございました。最後に一言お願いします。

これからバグバウンティを始めようと思っている人へ。始めるなら今が一番いい時期です。

初めてなら週に数時間でもいいので目標を立てましょう。

出典：Intigriti

https://blog.intigriti.com/2021/06/01/meet-the-hacker-p4fg-the-swedish-master-of-automation/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現

Securify Bugty

資料請求・お問い合わせはこちら