こんにちは、Cy-PSIRT の大塚です。
サイボウズでは、3年ぶり2度目となるバグハン合宿を開催 (2017/11/3,4) しました。合宿の様子と結果についてご報告いたします。
バグハン合宿とは?
「サイボウズ バグハンター合宿」、略して「バグハン合宿」。普段オンラインで脆弱性探索をしているハンターの皆様を集めて、寝食を共にしながら脆弱性発見コンテストをやろう!というものです。今回は、15名の方にご参加いただきました。
1日目 もくもく 時々 わいわい
決戦の場所は、三浦海岸。遠方の方は前泊して会場入りされていたり、受付時に配ったTシャツをその場で着て臨むという方もいて、スタート前からハンターの皆様の気合いを随所に感じました。途中、チームごとの成果発表やご飯などを挟み、約24時間(1日目 11:00 ~ 2日目 11:00)の戦いがスタートです。
今回は、初のチーム戦でした。初めて顔を合わせる方もいましたが、いざ開始すると何かある度に人の輪が出来るチーム、担当製品を分けてもくもくと攻撃するチーム、とそれぞれ特色が出て非常に興味深かったです。チーム戦にしたことで横の繋がりが出来て行くのを肌で感じました。
また、今回は各チームに一人弊社開発者を配置し、ハンターの方々と一緒に脆弱性を探してもらいました。自分たちが作っている製品に対して、攻撃者の視点や手法を屈指し脆弱性を報告される実例を見ることは、今後の開発にとてもプラスとなったようです。
夕食 そして負けられない戦い
宴会場での夕食タイムです。ハンターの皆様もしばし休息の時間...お酒を飲みながらワイワイかなと思いきや、ほとんどの方がウーロン茶を飲んでいました。(翌朝、運営側はその理由を知ることに...。)
そして、夕食もそこそこに始まった「ストリームス(※)」。ゲームの結果もチーム戦ポイントに加算されるというルールでしたので、各チーム負けていられません!!
1日目に得点が低かったチームは一層気合が入ります。運営メンバーも各チームに1人ずつ入り一緒に戦いました。単純なゲームなのですが、運と確率論を駆使した戦いとなります。ゲームの特性上、トイレも我慢でしたがw 全員が本気でゲームをやるという貴重な時間となりました。
※ 運営メンバーが息抜きの一つとして用意したボードゲームです。
1日目の夜 ハンターの気配を感じ続けた
夕食後は、部屋に戻り各自ご自由に~というスケジュールでした。チームごとの部屋割りになっているのもあり、ほとんど寝ずにバグハントされていたようで、翌朝までに多くの脆弱性が報告されておりました。朝PCを開いた時の衝撃は言葉に表せません。(この時初めて、ハンターの皆様がウーロン茶を飲まれていたことに納得しました)
日常を忘れてとことん出来た!!という声も多くいただき、夜中もワイワイとバグハンできるのは、合宿形式のメリットだと感じました。
2日目 ラストスパート
「合宿の得点として加算されるのは、11時までに報告されたもの」というルールでしたので、どのチームも最終日の追い上げは凄まじいものがありました。夜中に報告された分の評価が終わらないうちに、「新しい脆弱性が登録されたよ!」という通知が止まらない止まらない。。
評価チームが殺気立ちはじめ、2名体制から4名体制に変更し、ガシガシ評価していきました。それでも時間が足りず、重複チェックなどが甘かった点は大変申し訳なかったです。
最終成果発表
各チーム、スライドやデモを用いて、2日間で見つけた脆弱性について発表していただきました。そんな方法が...という内容も多く、おーー!といった感嘆の声があがっておりました。発見した脆弱性の情報、検出手法、悪用の手口などを共有していただくことで、運営側としても非常に勉強になりました。
結果発表
優勝賞品は、複数種類ご用意しました!それぞれにキャッチコピーがある点も運営のこだわりです。優勝チーム内で高得点を獲得した人から順に選んでね方式です。
1.Google Home「最高のバグハンターに、最高の室内環境を!」
2.Fitbit AltaHR 「適度な運動!元気なハンター!最高のパフォーマンス!」
3.AirPods 「生活をよりスマートに!浮いた時間でバグハント!」
そして、栄えある優勝は・・・Dチーム!!!!
1人少ないというハンデもあったのですが、チーム全員が報告しており、また、Masato Kinugawa さんの他を寄せ付けないパワーもあり見事優勝となりました!!
何かあると誰かの端末に集まって議論していたり、仕様に対するメンバーからの疑問にについて弊社開発者の横田も素早く回答していたりと、チームワークも素晴らしく納得の優勝でした。
本部長 賞 (Google Home)
グローバル開発本部長 佐藤鉄平 が全ての報告を確認し、選出しました。「堅い堅いと言われていた kintoneの脆弱性を唯一報告した」という点が高く評価され、 llamakko さん に送られました!!
PSIRT 賞 (Apple TV)
一番影響度の高い脆弱性(CVSS v3 に基づいた評価値の最高得点)を報告した ゆったん さん に送られました!!
バグハン合宿 を通して感じたこと
一同に集まることのメリットを感じた2日間でした。チーム戦にしたことで複数人での議論が生まれ、更に問題点を深堀りすることで報告件数の増加に繋がったと思います。開催目的の一つでもあった、バグハンター ⇔ バグハンター の交流、バグハンター ⇔ サイボウズ社員 との交流も達成できたと感じております。
何より、24時間で48件の報告(内30件を超える認定数)をいただいたことに、ただただ驚きました。ハンターの皆様のお力に大変感謝しております。
さいごに
今年の報奨金制度は、12/20 で終了となります。制度の見直し、施策の準備期間を経て、来年度は4月頃の開始を予定しております。12/20を過ぎた脆弱性のご報告は翌年度の報奨金制度の対象となります。合宿を実施するかは未定ですが、ハンターの皆様にとって魅力的な施策を考えていきたいと思っております。
バグハン合宿にご参加くださったハンターの皆様、本当にありがとうございました!!現在、粛々と再評価作業を進めております。評価確定までもうしばらくお時間いただけますと幸いです。またいつかお会いできることを、運営一同願っております。:)
引き続き、サイボウズ報奨金制度をどうぞよろしくお願いいたします。
