Author

Brandon Szymanski

米国や多数の国では10月をサイバーセキュリティ啓発月間としており、それをふまえ、GitHub Bug Bountyチームは、GitHubセキュリティバグ報奨金プログラムに参加するトップクラスのセキュリティ研究者の一人、@imreradにスポットライトを当てます！

1億人以上の開発者と4億2000万以上のリポジトリが存在するGitHubは、日々の開発活動を支えるコードのセキュリティと信頼性を確保するという確固たる姿勢を貫いています。GitHubバグ報奨金プログラムは、ソフトウェアエコシステムのセキュリティを向上させ、開発者がGitHubのプラットフォームや製品を使って自信を持って開発できるようにするために、重要な役割を果たし続けています。成功するバグ報奨金プログラムの基盤は、熟練したセキュリティ研究者との協力によって築かれると私たちは確信しています。

GitHubセキュリティバグ報奨金プログラムが10周年を迎え、私たちはこのプログラムのことを誇りに思っています。このプログラムはGitHubのセキュリティ戦略の基本的な要素であるだけでなく、ハッカーコミュニティとの関わりも深まっています。2016年以来、HackerOneを通じて総額550万ドル以上の報奨金を支払うことができました。また、さまざまなカンファレンスでプログラム参加者の多くと直接会い、企業としてどのようにセキュリティ問題に取り組んでいるかについて多くの講演を行ってきました。私たちは、コミュニティからのフィードバックに絶えず耳を傾け、研究者が参加するプログラムをよりエキサイティングなものにしようと努力しています。現在実現に向けて取り組んでいるアイデアもありますので、今後の発表にご期待ください！

サイバーセキュリティ啓発月間を記念して、私たちはバグ報奨金プログラムに貢献しているトップクラスの研究者にインタビューし、彼らの方法論やテクニック、GitHub でのハッキング経験について詳しく聞きました。今日ご紹介する imreradは、コマンドインジェクションやロジック実装の欠陥を専門にしていて、これまでにとても興味深く複雑な問題をいくつか見つけて報告してくれています。

---

バグ報奨金プログラムに参加したきっかけは何ですか？何に興味を持ち続けていますか？

10代の終わりからITセキュリティに情熱を注いできました。バグ報奨金プログラムが主流になる前から、企業に脆弱性を報告していたことを覚えています。2016年に（Androidから）初めて報奨金をもらいましたが、当時は一般的なことではなかったので誇らしく思いました。

私はフルタイムのバグ報奨金ハッカーではなく、フルタイムの仕事の傍、私生活を犠牲にすることなく、空いた時間に趣味としてやっています。バグ報奨金プログラムが業界標準になるにつれ、私はこの趣味を持つ幸運な男であることに気づきました。調査中に遭遇するさまざまな技術についてもっと勉強しようという気にさせられますし、それによって得られる評価もキャリア形成に役立ちます。

趣味を続けている理由は何ですか？

中毒性があるからです―新たな発見がどうしても欲しくなるんです。

ハッキング以外の楽しみは？

音楽が好きで、自分にとって重要なバンドのライブに行くようにしています。また、生活をより簡単で快適なものにするために、家の周りに様々な自動化を構築することも楽しんでいます。例えば、最近は灌漑システムに取り組んでいます。次の課題は、どうにかしてより多くの水を貯めることです。

脆弱性の動向についてはどのように把握し、学んでいますか？

他の人たちによるバグ報奨金の書き込みは、非常に貴重な情報源です。見たことのないトリックや、気づいていない機能について学ぶことができますし、運が良ければ、まだ考慮されていない新たな攻撃経路についてアイデアを与えてくれるかもしれません。

また、ターゲットの変更履歴を確認することで、次に何に注目すべきかのヒントを得ることもできます。例えば、GitHub Enterprise Server (GHES)のリリースノートでは、管理コンソールにおける特権昇格の問題の傾向を見ることができます。

これに加えて、フルタイムのセキュリティ・エンジニアとして現在と過去の職務で得た経験も、私のプロセスにある程度貢献しています。

調査するバグの中で最も好きなものは何ですか？

論理バグが一番好きで、ユニークなものが特に好きです。市販のツールで発見できるような学校の教科書に載っているような脆弱性（例えば、反射型XSS）ではワクワクしません。私はコーディングが大好きなので、潜在的な攻撃経路を検証したり、発見したばかりの脆弱性の他のインスタンスを見つけるためのツールを構築するのも楽しいです。競合状態の問題では、成功率を上げるための選択肢を探ることにもやりがいを感じます。

あなたは複雑で重大なバグをいくつか発見していますが、そのプロセスについて少し話してもらえますか？

超特殊な方法論を持っているわけではなく、以下のようなものです：

1. 自分が好きな、あるいは自分がよく知っている対象を選びます（自分が好きでない製品ではモチベーションが下がる傾向があるので、それ以外の製品に集中するようにしています）。
2. 問題をはらんでいそうな機能のリストを作成します（例えば、欠陥の影響が壊滅的なものになる可能性があるとか、あるいは単に安全に実装するのが難しいとか）。
3. それぞれについて攻撃経路のリストを作成します。
4. リストに優先順位をつけます。
5. リストに目を通し、攻撃を実行してみます。
6. 結論を出しながら、実行の結果でリストを更新し、拡張します。
7. これを繰り返します。

バグ報奨金プログラムに参加しようとしている研究者へのアドバイスやお勧めのリソースはありますか？

冗長なメモを作成することです。そうすれば、数カ月後に何かを再現する必要が生じたときや、自分が出した結論で誰かを助けたいときに、時間を大幅に節約できます。

偏見に惑わされてはいけません。超優秀なエンジニアでも時にはミスを犯すことがあるのだから、些細だと思う攻撃の検証もしっかりやりましょう。

バランスを見極めることが大切です。時には、有望な攻撃面を調査するためにかなりの時間をかける必要がありますし、正しい結論にたどり着くためにはさらに多くの時間が必要になることもあります。どこで調査を打ち切るか、それともさらに追求するかの判断は非常に難しいものです。

恩返しをしましょう。自分の発見やツールに関する情報を公開することは、研究者コミュニティの助けになりますし、インターネットをより安全にします。

読者と共有したいソーシャルメディア・プラットフォームはありますか？

LinkedInや、Mediumで私の記事を読んだり、GitHubで私のツールをチェックしてください。

---

GitHub のバグ報奨金プログラムのリサーチャースポットライトに参加してくれてありがとう、@imrerad！バグ報奨金プログラムへの参加は、GitHub と GitHub の製品、そして お客様のセキュリティをより強化するチャンスです。私たちは今後もセキュリティリサーチャーの皆さんとの協力を歓迎し、感謝しています。この文章を読んでバグハントに挑戦したくなった方は、ぜひHackerOneを通じて発見を報告してください。

---

---

The post Cybersecurity spotlight on bug bounty researcher @imrerad appeared first onThe GitHub Blog.