バグハン合宿2025 開催報告 - Cybozu Inside Out | サイボウズエンジニアのブログ

こんにちは！PSIRT の大塚です。2025/7/5 - 7/7 で、Cybozu Bug Bounty 10周年を記念したバグハン合宿を開催しました。今回は合宿の様子とこれまでの変化についてご紹介します。

バグハン合宿2025

バグハン合宿とは、ハンターの方々に集結いただき、合宿形式でサイボウズ製品のバグハントを行うイベントです。今回は初の2泊3日開催となり長丁場となりましたが、8名のハンターの方にお集まりいただきました。合宿中に限りハンターの方々にソースコードを公開する関係もあり、一定の関係値があり信頼のおけるハンターに直接お声がけさせていただきました。

今回の特徴

ソースコード公開に加えて、リリース前の機能を含む合宿限定の対象製品を複数提供しました。

合宿では一つの報告ごとにスコアを付与するのですが、事前に定めた時間帯に指定の製品を報告するとスコアが倍増する「フィーバータイム」も導入しました。長丁場でも飽きないゲーム性とリリース前製品への興味が向くようにすることも含め、お互いにとって有益で楽しめるイベントとなるよう工夫しました。

また、夜の宴会ではミニゲームも実施し、肩の力を抜きながらも参加者や運営同士ワイワイと交流し、チーム戦を楽しめる場も用意しました。お酒が入っていて手元が若干不安定な状態で開始となったペーパータワーは、各チームの戦略と特徴が爆発していて、とても見ごたえがありました。

バグハン合宿2025 結果

報告数：61件 (kintone 32件、Garoon 20件、プラグイン 4件、その他 6件)
認定数：39件
優勝チーム：8ayacさん、masatokinugawaさん、tyageさん、no1zyさん
本部長賞：masatokinugawaさん　(選出理由：XSSへの執念や多数の報告、他ハンターとのコラボによる報告など、合宿を最大限生かしていただいた)
PSIRT賞：mageさん (選出理由：ソースコード端末を積極的に活用され潜在的な問題への報告にも繋げていただき、合宿の場を盛り上げていただいた)

普段のBugBountyで報告傾向にある製品が上位に入らず、合宿限定の特別製品を多く報告いただいた結果となりました。

優勝チームのみなさん！左から、8ayacさん、masatokinugawaさん、tyageさん、no1zyさん

バグハン合宿これまでの変化

バグハン合宿自体は、今回で5回目となります。これまでに色々な変化がありましたので、いくつかご紹介します。

個人戦からチーム戦へ

最初は個人戦でしたが、2017年の2回目以降はチーム戦としてきました。そして、自分以外の参加者の報告内容もチーム問わず閲覧できるようにもしました。

チーム戦とすることでハンター同士のコミュニケーションも活発になり、知見の共有なども自然と発生します。また他参加者の報告内容を閲覧できることで、この現象は他の箇所でも刺さるのでは？とか、組み合わせて攻撃に繋げられないだろうか？など、更なる報告に発展する可能性や、ハンター間の知見の共有にも繋がります。これらは参加ハンターからも合宿参加の醍醐味という反応もあり、ハンターと運営の双方にとってメリットのある変化だったと感じています。

ソースコード公開へ

ハンターからは元々、ソースコードを公開してほしいという意見は出ていましたが、前向きな検討は進んでいませんでした。しかし、2019年のバグハン合宿で、PHP解析によるクリティカルな問題が多数報告されました。この出来事をきっかけに、運営としてもソースコード公開しても良いのでは？という考えにシフトし、色々な調整を経て、2023年の合宿から公開へ踏み切ることになりました。

このように、バグハン合宿はハンターの声を取り入れつつも、双方にとってより価値のあるイベントにすべく変化してきました。次の開催については何も決まっていませんが、また何かしらの変化と改善を経て開催できたらと考えています。

最後に

バグハン合宿は、数字だけでは見えない熱量がとても高いイベントです。運営として、報告内容からの学びはもちろん、ハンターとの直接のコミュニケーションや脆弱性を探す過程の様子一つとっても、多くの学びがあります。普段個人で活動されている著名なバグハンターの方々が、互いの得意分野をフルに活かし、時に協力しながら製品の穴を突く様子はいちエンジニアとしては堪らないものがあります。個人的には、最高の福利厚生！とも言えると感じています。

Cybozu Bug Bounty はとても効果の高い施策ですが、10年間続けてきたことでの新たな悩みも出てきています。現在では海外からの参加者も半数を越えてきました。限られた時間を使って製品を触って報告いただく国内外のハンターの方々には、感謝しかありません。合宿イベント以外にも、多くのハンターにとって興味を持っていただけるよう制度自体の改善や変化にも継続して取り組んでいきます。

11/28(金) には10周年記念として、運営やバグハンターによるLT会のようなイベントを予定しています！！広く参加者を募り、Bug Bountyを軸にしつつ、参加者同士の交流もできる場に出来たらと考えています。準備が整い次第発信させていただきますので、ご興味があれば是非ご参加いただけると嬉しいです。