脆弱性報告をやってきた感想(バグバウンティ・CVE取得)

生活

kazkitiさんのスライドを見て感化されたので私も書こうかなって思いました。

kazkiti

バグバウンティ

kazkitiさんのスライドに書いてあるとおり、バグバウンティは難易度が高かったです。


私の2019年~2020年のブログ記事では、バグバウンティ入門みたいなものを何回か書きましたが、そもそもバグバウンティに入門すること自体が難易度が高かったです。

個人的には、「競争」であることが精神的な足かせになってました。


脆弱性を見つけても、一番で無ければ意味がないのが辛いです。

簡単な脆弱性だと一番になれないので、一番になれるように脆弱性を勉強します。


すると、気になっていた脆弱性より、一番になれるような脆弱性を調べることになります。

レベルが低い内は技術より脆弱性を優先する(基礎的な技術への投資は精神状況的にしにくい)ので、成長も鈍化します。


お金をもらうことに対する興味もそんなになかったため、やっているのが楽しくはなかったです。

数件はトリアージされましたが、そのくらいじゃ大した実績にならないのも精神的にきつかったです。

私の感想ですが、以下のような方であればバグバウンティに向いていると思います。

  • 脆弱性を報告してお金がほしい
  • バグハンターランキングに乗りたい
  • 公開されているWebサイトの脆弱性を探したい

OSSや実行ファイル、スマホアプリでバグバウンティもありますが、こちらはバグバウンティじゃなくてもできます。

割とボロクソに書きましたが、いきなりバグバウンティをはじめるのはよほど上記に適していないとおすすめしないというだけで、ある程度詳しい方だったらアリアリのアリだと思います。


私ももう1~2年経って自身がついたらしれっとバグバウンティやってる気もします。

CVE取得

2020年の夏ころにはじめました。
バグバウンティ対象ではない、日本の製品をWebアプリやスマホアプリ対象としてはじめました。

こちらはお金やランキング、内部ポイントなどわかりやすく利益をもたらすものがありません。
それ故、競争率がかなり低いです。

IPAに製品の脆弱性を報告すると、修正後にJVNに乗り、CVE番号も発行されます。
1つだけでも結果がわかりやすいです。

私の感想ですが、以下のような方であればCVE取得に向いていると思います。

  • 脆弱性探しの実践をやりたい
  • 競争は好きではない
  • 実績も欲しい

欠点としては、環境構築や対象探しの手間があります。


どの製品を対象とするのかは自分で探して、その製品が動くように環境を構築しなければいけません。
普通にめんどくさいです。

「お手軽にちょちょいとやってCVEもらって実績かせいどこ~」って感じではありません。


ですが、対象探しや環境構築は何やっててもやる必要があるので、慣れたらそこまで苦にはなりません。
人によっては「お手軽にちょちょいだけどなぁ?」って思うかもしれません。

私はこちらの方が楽しいと感じています。


もともとバグバウンティだと、ポイントのみのプログラムばかりやっていたので、CVE取得に報告転換しても影響はありませんでした。

まとめ

バグバウンティはセキュリティ技術初心者にはおすすめできません。


お金、ランキング、海外向け実績を求める方には向いているかもしれません。

CVE取得はセキュリティ技術初心者におすすめできます。


勉強、脆弱性探しの趣味を兼ねます。
実績も「CVEを取った」とシンプルでわかりやすく、公表しやすいです。

終わりに

バグバウンティのコミュニティを作った私が、「バグバウンティはきつくて辞めた」という記事を書くのはなんとも面白いものだなぁって気持ちです。


二兎を追うものはなんちゃら、勉強・お金・実績を同時に追いかけるのはキツキツですね。

私が前書いたバグバウンティ関連の記事がまぁまぁ見られているようなので、感想記事も書きました。
何かしら始めたい方の参考になれば幸いです。

【PR】コミュニティの紹介

サイバーセキュリティ情報共有コミュニティをやっています。

インシデント例や脆弱性情報などを取り扱っています。

毎週金曜日はボイスチャットにて雑談会を行っています。

ご興味ありましたらご参加いただけると嬉しいです!

参加URLはこちら

https://discord.gg/6ra6KmxepD

コメント

タイトルとURLをコピーしました