こんにちは。モンハンは弓か片手剣の田中です。 弊社ChatWorkでは昨年からバグバウンティの導入をし、先月報奨金制度をスタートさせました。 ChatWork BugBounty.jp - バグバウンティ・プラットフォーム 今回は、バグバウンティ導入についてのあれこれを書いておきたいと思います。 導入に至った背景 弊社が運営している「チャットワーク」は現在導入社数が16万社を超え、おかげさまで広く使われるようになりました。 しかし、サービスが成長すると同時に、セキュリティをどう担保していくかという課題がでてきました。 Webサービスを運営している以上、セキュリティ対策はその運営会社の一つの責任であり、出来る限り脆弱性によるリスクは小さく保っていきたいです。 日々の業務、新規機能開発との両立をどうしていくか・・・その一つの回答がバグバウンティでした。 バグバウンティとは? バグバウンティとは
アップルが、セキュリティ上のバグ発見レポートに報奨金を出す「バグバウンティ制度」に本格的に参加をする。最高で150万ドル(約1600万円)の報奨金が用意されるという。アップル製品のバグ探しを職業にして、生活していけるだろうか。これが今回の疑問だ。 慎重だったアップルが始めた アップルは、すべてのプロダクトでバグバウンティ制度を始める。iOSについては2016年からスタートしていたが、この秋からmacOS、watchOS、tvOS、iPadOS、アイクラウド(iCloud)など、アップルの全プロダクトをカバーするようになる。 バウンティとは「報奨金」の意味。セキュリティ上の重大なバグ、脆弱性を発見し、それをアップルにレポートしてくれた人に対し、最高150万ドルまでの報奨金を与える。 アップルがこの制度を始めるのは遅すぎたくらいだ。セキュリティ上の脆弱性を、開発チームやテストスタッフという限ら
バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと バグハンターとは、Webサービスやソフトウェアなどに含まれる脆弱性を、システム改善のために探し出す人々です。バグハントの方法は非常に多岐にわたりますが、具体的な手法、使用ツール、ハントのマナーを凄腕のバグハンターに聞きました。mageの名で知られる馬場将次さんが語り下ろす実践的なノウハウは、サービスをセキュアなものにしたいエンジニアのみなさんにとっても重要な知見になるでしょう。 バグハンティングを犯罪にしないために必ず知っておきたいこと 馬場流バグハント手法「調査」「解析」「実証」。そして「普通はやらない」を無数に試す 防御のために、言語やフレームワークの実装を学ぼう。コード読解から、違和感を見つけ出す方法を実践してみる XSSの現在。技術の進化と並走する攻撃手法の進化 セキュリティを理解するためにまずは
ヒートウェーブ株式会社(本社:東京都新宿区)は、「ホワイトハッカー」の育成に特化したセキュリティスクール「セキュ塾」にバグバウンティ(脆弱性報奨金制度)プログラムを導入。日本でも広がりはじめているバグ報奨金プログラムに参加するための教育を行うことで、企業の脆弱性を発見し報告する、「ホワイトハッカーとしての仕事」を具体的に学習・体験することができます。バグバウンティ演習の疑似環境はバグ報奨金制度のプラットフォーム「BugBounty.jp」を運営する株式会社スプラウト(本社:東京都港区)より提供され、よりリアルなサイバーセキュリティ研修を学習することができます。学習後は企業の実環境にて脆弱性を探し、脆弱性が発見された場合は企業側から受講生へ報奨金が支払われます。 バグ報奨金制度(Bug Bounty Program)とは、企業のウェブサービスやアプリケーションなどに「システム上の脆弱性」が存
著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート:セキュリティ業界、1440度(17)(2/3 ページ) にぎわいを見せるバグバウンティの世界 Webサイトやソフトウエアなどに存在する脆弱(ぜいじゃく)性を善意のホワイトハッカーが指摘し、その対価としてソフトウエアの開発会社などが報酬を提供するのが「バグバウンティプログラム」です。時には1億円もの報奨金が支払われることもあり、近年この制度が大いに関心を集めています。 これまでは、米グーグルや米フェイスブックなどの海外大手企業が積極的にこの制度を取り入れていましたが、日本国内でも、サイボウズやLINEなどの企業が採用を始めています。 CODE BLUE 2015では、バグバウンティの世界で活躍する2人のホワイトハッカーが登壇しました。 脆弱性を効率的に見つけるには「仕様書に沿ってテストする」だけ 1人
はじめに バグバウンティを本格的に始めて約2ヶ月で獲得報奨金100万超えたよ!no1zyです。 獲得報奨金額100万円達成しました!去年は5000円だったので200倍稼げました!w https://t.co/7yrCj27ITL— no1zy (@no1zy_sec) 2018年8月29日 この記事はバグバウンティを始めたいという人向けの入門記事です。私がどのように脆弱性を発見して報奨金を得たかについて紹介します。 私はwebサイトを中心にバグハントをしているため、Web中心の話になります。 筆者のスペック まず、筆者がバグバウンティを始める前に持っていた、身分、スキル・経験を紹介しておきます。 9/6現在、情報系の専門学生。 バグバウンティの運営サイドでアルバイトの経験(10ヶ月)がある。 PHP, Javascriptは読める。 Webセキュリティは基礎的な部分はわかる。 CVEは2つ
国民投票や地方選挙が頻繁に行われるスイスは現在、郵便公社スイスポストが開発した電子投票システムを試験しており、2月25日~3月24日には世界各国のハッカーに参加を呼び掛けて侵入テストを実施する。深刻な脆弱性の発見者には5万スイスフラン(約550万円)の報奨金が与えられる。 アプリケーションのエラー発見を目的とした「バグバウンティー(不具合報奨金)」制度は、組織のセキュリティー対策の一部としての重要性が増している。自組織のコンピューターシステムのトラブルシューティングに報奨金を支払うことは魔法の解決策にはなり得ないだろうが、有効性と評判の観点からは重要だ。 アップルは3年前にバグ報奨金プログラムを立ち上げたが、最近にはフェイスタイムの脆弱性を発見した少年が同社に適切に通報できず、修正が遅れてしまう問題が発生した。識者の多くはこの要因として、アップルの報酬金プログラム運営面での問題を指摘してい
郵便公社スイスポストが実施した電子投票システムへの公開侵入テストの結果、いくつかの重大な弱点が明らかとなり、同社は5月19日の国民投票での同システム使用見送りを強いられた。多額の報奨金と引き換えに脆弱性の特定を呼び掛けるこのテストについては、私も2カ月前の記事で紹介している。 私たちは今、デジタル手段を使った選挙介入行為の規模を認識し始めており、スイスポストが世界中のハッカーにシステムの安全性確認を呼びかける今回のテストを実施していなかったらどうなっていたかは想像に難しくないだろう。 自社のコンピューターシステムに試練を与えることの戦略的重要性を認識し始める企業は増えている。マイクロソフトは最近、セキュリティー研究者らによるシステム脆弱性発見サービスを提供する企業ハッカーワン(HackerOne)と提携し、自社のバグバウンティー(不具合報奨金)プログラムを刷新すると発表した。マイクロソフト
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 内田勝也の日々是セキュリティ > 海外で広がる「バグバウンティ=脆弱性報償金制度」、もっと日本でも!:第1回 セキュリティ セキュリティ記事一覧へ [内田勝也の日々是セキュリティ] 海外で広がる「バグバウンティ=脆弱性報償金制度」、もっと日本でも!:第1回 2019年8月27日(火)内田 勝也(情報セキュリティ大学院大学 名誉教授) リスト セキュリティに関する世界最大のイベントの1つが「Black Hat USA」。今年も8月初旬に米国ラスベガスで開催された。さまざまな話題があったが、今回は「バグバウンティ(Bug Bounty)」と呼ばれる脆弱性報償金制度を取り上げたい。Black Hat USA 2019で、米マイクロソフトは、Microsoft Azureの脆弱性を発見するために最大30万ドル、アップルは従来
ソフトウェアやプログラムは人間が作るものであるため、完璧なものは存在しないと言われています。そのためリリースした後にも定期的な更新や修正作業は付き物です。修正の対象となるプログラムの欠陥は一般的に「バグ」と呼ばれています。日本語だと「虫」という意味です。もともと本当の虫が起源だったとも言われています。 そんなバグに対して報奨金をかけて一般人に見つけてもらう制度のことを「バグバウンティ」と言います。今回はバグバウンティの紹介と導入している企業について紹介します。 バグバウンティ(バグ報奨金制度)とは バグバウンティは「脆弱性報奨金制度」や「バグ報奨金制度」と呼ばれています。公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度になっています。 バグバウンティの始まり バグバウンティの歴史は、1
日本でも認知が広がって来た「バグハンター」という仕事 バグバウンティ制度をご存知だろうか。バウンティとは報奨金のこと。企業がウェブやデジタル製品などについて、広く脆弱性検出を依頼し、発見した人には報奨金を支払うという仕組みだ。Google、Facebook、MicrosoftというグローバルIT企業が導入しているのはもちろん、日本でもLINE、サイボウズ、任天堂、エイベックス、gumi、pixivなどが導入している。 このようなバグバウンティには誰でも参加できる。企業が独自にオフィシャルサイトなどでバグバウンティ制度を運営していることもあるが、多くはバグバウンティプラットフォームに登録をし、あとは対象のウェブ、アプリなどから脆弱性を探し出し、レポートを提出する。これで、場合によっては100万円以上の報奨金が得られる。 中には、企業に属することなく、このバグバウンティ制度を利用して、報奨金だ
外出先などのWi-Fi環境がない場所で、ノートPCやタブレットをインターネットに接続する際に便利なポケットサイズの通信端末「モバイルWi-Fiルーター」。カバンにひとつ入れておくだけで、電波が届く場所ならどこでもWi-Fiを使ってネットに接続できるようになるため、動画やオンラインゲームなどのインターネットサービスを出先でも快適に楽しみたいというユーザーに人気だ。 各社からさまざまな端末・料金プランが提供されているが、データ容量を気にせず存分にデータ通信を使いたいというユーザーの注目を集めているのが「G-Call 100ギガ使い放題WiFi」。今回試すことができたので、その特長や使い勝手を紹介しよう。 モバイルWi-Fiルーターは、モバイルデータ通信(携帯事業者が提供するインターネット回線)とWi-Fiの両方に対応したコンパクトな通信機器のこと。パソコンやタブレット、スマホ、携帯ゲーム機など
「Windows 10ミニTips」は各回の作成時点で最新のWindows 10環境を使用しています。 コールドデータは「LZX」で圧縮 筆者は書き終えた原稿をOneDrive for Business内の別フォルダーに移動している。まれに、外出先から参照することがあるからだ。デスクトップPCはファイルオンデマンド機能を無効にしているが、HDDの容量を節約するため、圧縮設定を施している。 筆者の原稿フォルダー。2004年以前のデータはCD-Rに書き込んで保存しているが、メディアの劣化を踏まえると、そろそろHDDに書き戻さなければならない Windows 10で圧縮設定を有効にするには、プロパティダイアログの「内容を圧縮してディスク領域を節約する」にチェックを入れるわけだが、この状態では必ずしも最適な圧縮状態にはならない。 GUI操作による圧縮機能。圧縮するかしないかの選択肢しかない 上図で
ASUSのVivoBook SはミドルレンジのノートPCで、今回発売となった「VivoBook S15 531FA」は昨年の12月に発表となった、「VivoBook S15 S530UA」から1年ぶりの新モデルである。
筆者がWindows+Armと付き合いだしたのは、2012年に発売された「Surface with Windows RT」までさかのぼるが、この当時のArm PCは前評判ほどにはブレイクせず、2世代目にあたるSurface 2の登場をもって世の中から姿を消してしまった。 あれから7年が経過して 理由は主に3つあると考えており、1つは従来のWindowsアプリケーションを動作させることができず、Arm版アプリ(しかもWinRTベースのもの)を新たに開発しなければならなかったこと、2つめはパフォーマンスが十分でなく用途が限られていたこと、3つめはIntelなどの競合プロセッサで価格や消費電力面で十分対抗できるラインアップがそろっており、あえてWindows RTを使う理由がなかったことが挙げられる。 3つめの理由について、実際に後にリリースされたSurface 3はAtomベースのSoCを搭載
Microsoftは12月16日(米国時間)、「Announcing Windows 10 Insider Preview Build 19536|Windows Experience Blog」において、Windows 10 Insider Preview Build 19536における変更点や新機能について伝えた。 このバージョンでは、設定アプリケーションにデバイスマネージャが担っている機能の一部が統合されており、Windows Update時の問題追跡が従来よりも簡単になる可能性がある。 Microsoftは2018年から2019年にかけて、Windows Updateで何度か大きな問題を引き起こした。現在、MicrosoftにとってWindows Updateに起因する問題が発生しないようにすることは優先度の高い事項になっている。 Windows 10にもデバイスマネージャが存在し
およそ2年前となる2018年3月のことだ。Microsoftは「Windows」ビジネスの再編とともに、Windows and Devices Group(WDG)を率いていたTerry Myerson氏の退社を発表した。組織的に見た場合、同社はWindows開発チームを2つに分割し、「Microsoft Azure」を開発している組織とExperiences & Devices(E&D)部門に振り分けた。これは基本的にWindowsスタックに従った編成であり、Windowsのコア部分はAzureの開発部門が、フロントエンドのユーザーエクスペリエンス(UX)はE&D部門が担当するというものだった。しかしMicrosoftはそれ以来、同社がサポートしているさまざまなプラットフォームをまたがったWindowsのビルド/保守の方法について、この再編がどのような意味を持っているのかをほとんど公言し
使ったことある? WindowsとmacOSのおすすめ無料アプリ2019年版2019.12.10 13:0034,665 David Nield [原文] ( mayumine ) あ、そういえばこれ無料だった。 WindowsやmacOSのマシンを購入するということは、ハードウェアとOSを購入しているだけでなく、無料のアプリも購入していることを忘れがち。今回はプリインストールアプリに着目して、WindowsとmacOS、それぞれ改めてご紹介します。 「そういえばこれ使ったことなかったな」というアプリ、結構あると思いますよ。 Windowのソフトウェアは、ここ数年でmacOSに追いついてきた感じがありますが、マイクロソフトはWindowsが始まった当初からずーっとソフトウェアを提供し続けています。マインスイーパとMicrosoft製のブラウザ以外にも、一度は触ってみる価値のある無料のプリイ
夫婦で始める「働き方改革」。幸福学の見地からパートナーシップを学ぶトークイベント開催〜2020年1月19日(日)に宮崎県新富町で地域商社が主催。講師に慶應義塾大学大学院 前野隆司氏・マドカ氏夫妻〜 一般財団法人こゆ地域づくり推進機構(宮崎県児湯郡新富町、代表理事:齋藤潤一、以下こゆ財団という)は、「幸福学」研究の第一人者である慶應義塾大学大学院システムデザイン・マネジメント(SDM)研究科教授の前野隆司氏、同研究科附属システムデザイン・マネジメント研究所研究員の前野マドカ氏をゲストにお迎えし、夫婦のパートナーシップや働き方改革について考えるトークイベントを2020年1月19日(日)に宮崎県新富町で開催します。 今回のイベントでは、最も身近なパートナーシップである「夫婦」をテーマにすることによって、幸福とは何かや男女共同参画、多様性が重視される社会における「働き方改革」について考えます。 こ
外傷や内臓疾患の多くは、その異常が何らかの形で見てとれる。例え体の内部であっても、X線撮影やエコー検査、内視鏡などを用いた検査・診断が可能だ。しかし、いわゆる「心の病」は、どうやって“診る”のだろう。そんな純粋な疑問を、精神科・心療内科を標ぼうする、うらわメンタルクリニックの野賀正史医師に伺った。 [この記事は、Medical DOC医療アドバイザーにより医療情報の信憑性について確認後に公開しております] 【この記事の監修医師】 野賀正史先生(うらわメンタルクリニック 院長) 東京慈恵会医科大学卒業、同大学大学院博士課程修了。東京慈恵会医科大学精神医学講座助手、一般精神科医院勤務をへた2008年、さいたま市南区にうらわメンタルクリニック開院。日々の診察にあたっては、気軽に受診できる環境を整備しつつ、不安や緊張の原因をいかに取り除くかという点に留意している。医学博士号(甲種)、日本精神神経学
仮想通貨ではなくプリペイドカードでの支払いを要求する恐喝犯が現れています。何にせよ、支払う必要はありません。 「ポルノを見ている様子をハッキングして動画に収めた」と脅してお金を要求するのは、セクストーション詐欺のおなじみのパターンですが、時にひねりを加えたバージョンが出てきます。最近では、違法性のあるアダルト動画を見たのを知っているぞ、という脅しにCIAの名前を出すことで信憑性を持たせる事例がありました。こういった虚偽の主張は、相手をパニックに陥れて送金させることを目的としています。 ほとんどの場合、サイバー犯罪者は要求した金額を暗号資産(仮想通貨)で支払うように要求します。仮想通貨による取引は匿名で行われ、追跡は極めて困難ですから。仮想通貨の送金に必要なウォレットのアドレスは、電子メールの本文に書かれているのが一般的です。しかし、最近観測したセクストーション詐欺メールでは、そのようなアド
悪名高いサイバー犯罪集団「Magecart」の攻撃が、新たな傾向と共に継続して確認されています。今回は米国のブラックフライデー商戦に便乗する活動が判明しました。本ブログの今年1月の記事などでも報告しているように、MagecartはショッピングサイトなどのECサイトを改ざんし、サイト上で入力されたクレジットカード情報を詐取する攻撃を行います。このMagecartの攻撃手法は「フォームジャッキング」や「Webスキミング」などと呼ばれているほか、特に米国連邦捜査局(FBI)では「E-Skimming(Eスキミング、電子スキミング)」と呼び注意喚起しています。 図1:2019年9月に発覚したMagecartによるホテル予約サイトに対する攻撃の概念図 ■「Magecart」とは? MagecartはECサイトの侵害を狙うサイバー犯罪者グループです。実際には単独のグループではなく複数のグループの総称と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く