[レポート][Microsoft Corporation]Microsoft のバグハンティング|脆弱性発見者へのインタビューとMSRCについて – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「[Microsoft Corporation]Microsoft のバグハンティング|脆弱性発見者へのインタビューとMSRCについて」セッションのレポートです。
2021.10.19

CODE BLUE 2021の下記セッションのレポートです。

[Microsoft Corporation]Microsoft のバグハンティング|脆弱性発見者へのインタビューとMSRCについて

より安全で安心な製品やサービスを提供するために、マイクロソフトでは、マイクロソフトの製品やサービスに影響を及ぼすセキュリティ上の脆弱性についてさまざまな調査を実施しています。このセッションでは、マイクロソフトに脆弱性を報告していただいた方への脆弱性報奨金をはじめとするさまざまな報奨金プログラムをご紹介します。Microsoft Security and Response Center (MSRC) には、世界中の方々から脆弱性情報が寄せられており、その中には日本語の脆弱性報告も含まれています。RyotaK氏はその代表例で、2021年のMSRCのMost Valuable Security Researcherとして表彰されています。RyotaK氏のマイクロソフト製品の脆弱性を調査・報告した経験を紹介します。

Presented by :
Microsoft Corporation 垣内由梨香 セキュリティプログラムマネージャー

レポート

  • Microsoft製品のバグハンティングに関する話
  • MSRCとは
    • ミッションは、お客様がMicrosoft製品の脆弱性の被害を受けることを防ぎ、Microsoft Cloudに対する攻撃を仁祖機に撃退すること
  • 脆弱性報奨金プログラムの要件
    • 研究を表彰したいと考えています
    • 新しい斬新な脆弱性を探しています
    • 顧客データやサービスの可用性への影響を避けてください
    • 「協調的な脆弱性の公開」を尊重してください
      • 非公開でMicrosoftに報告
  • 報奨金の対象
    • Hyper-VやAzure など多数
    • 報奨金の対象外
      • 不十分なツールの出力結果
      • ソーシャルエンジニアリングや物理的な攻撃は禁止
  • 脆弱性の報告方法
    • MSRC Researcher Portal から報告
    • 日本語にも対応
  • RyotaK 氏へのインタビュー
    • 自己紹介
      • 高校生
      • 趣味でセキュリティの勉強・調査やバグバウンティーをしている
      • 最近はOSSのセキュリティの調査をしている
    • 脆弱性報告のモチベーションは?
      • 報奨金、記念品のため
      • 身の回り(自分や知人)のソフトウェアを安全にするため
      • 善意での報告、貢献
    • Microsoftへの報告はなにがおもしろい?
      • バグバウンティーの対象製品が多く、脆弱性が見つけやすいため
        • 対象が多いと他者との競合が少ないため、モチベーションを維持できる
      • セキュリティレスポンスセンターの方は柔軟に対応してくださり、調査がしやすい
    • 脆弱性調査が楽しいMicrosoft製品は?
      • Azure関連がおもしろそう
        • COSMOS DBのような広い範囲に影響を与えるような脆弱性があるため
    • Microsoftへの報告で楽しかったことは?
      • 偶然見つけた脆弱性が報奨金の対象になり、予期せぬ報奨がもらえたこと
    • 脆弱性報告での英語は?
      • 英語での会話は苦手だが、片言の英語でも意外と伝わる
      • 最低限、概念実証コード等の再現動画、対象製品、バージョンを伝えれば相手が再現できる
    • バグハンティングのスキルアップは?
      • 情報収集として、新着CVEエントリを一通り流し見している
      • 流行りの技術スタックを把握
      • 技術ブログ等も読んでいる
    • バグハンティングに興味がある方へのアドバイスは?
      • Web Security AcademyのLabがよい
      • 始めは競争率が低い脆弱性がよい
        • 報奨金がない脆弱性など
    • Microsoftのバグハンティングアドバイスは?
      • Azure製品の調査をスコープにするのがよい
      • Azureに関連するソフトウェアもスコープに入っているため

感想

実際に複数の脆弱性を発見している方のモチベーションが何なのかが分かる貴重なセッションでした。