【バグハンターインタビュー】Samuel Eng
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
この【バグハンターインタビュー】シリーズでは、印象的な実績や変わった方法論、コミュニティへの貴重な貢献をしたIntigritiのコミュニティメンバーに話を聞くことができます。今回は、シンガポールで最も経験豊富なハッカーの一人であるSamuel Eng氏に話を聞きました。
目次
- 1 Samuelさん、こんにちは。Samuel Engとはどんな人なのか、少し教えてください。
- 2 今、バグバウンティという言葉が出ましたね。バグバウンティという言葉を生まれて初めて聞いたのはいつですか?
- 3 初めてプログラムに提出したバグを覚えていますか?
- 4 脆弱性調査やバグバウンティには、だいたい何時間くらいかけているのでしょうか。
- 5 Samuelさんの地元の状況に興味があります。シンガポールのハッキングシーンはどうでしょうか。そのあたりを少しお聞かせください。
- 6 ハッキングで一番感動したことは何ですか?
- 7 良い脆弱性があると、幸せな気分になるのはとても良いことですね。私たちのブログを読んでいるのは、初心者の方の傾向が高いのですが、初心者にお勧めの方法はありますか?ターゲットに近づくとき、最初にすることは何ですか?
- 8 Burp Suite以外にハッキングのためのお気に入りのツールは何ですか。
- 9 ハッキングのキャリアにおいて、メンターがいた時期はありますか?
- 10 では、「どちらかといえば」という質問をいくつかさせていただきますね。協力し合って報奨金を山分けするのと、報奨金を自分のものにするのと、どっちが良いですか?
- 11 さて、もう1つ。報奨金を貯めて自分でテスラを購入しますか、それとも家を購入するために貯めますか?
- 12 そうなのですね、それは知りませんでした。今日は本当にありがとうございました。最後に何か一言お願いします。
Samuelさん、こんにちは。Samuel Engとはどんな人なのか、少し教えてください。
皆さん、こんにちは。
私はシンガポール出身のSamuelです。
現在、Bytedanceでセキュリティエンジニアとして働いており、ほとんどのバグハンターと同じように、独学で勉強しています。私がコンピュータセキュリティに夢中になり始めたのは、大学のプロジェクトで自分のコードを修正しなければならなくなった時です。やがて、セキュリティコンサルタントとして最初の仕事を始め、その後、OSCPやOSEEなど、Offensive Security社の認定資格を取るようになりました。そしてその後、自分自身に挑戦するために、バグバウンティハンターになりました。
今、バグバウンティという言葉が出ましたね。バグバウンティという言葉を生まれて初めて聞いたのはいつですか?
実は、よく覚えていないんです。ハッキングのスキルを上げるにはどうしたらいいかとGoogle検索をした時だったと思います。いろいろなプラットフォームからハッキングのフィードを発見しました。最終的には、CTF(Capture The Flagという情報セキュリティのスキルを競い合うコンテスト)をプレイすることでスキルを磨きました。バグバウンティは、CTFに少し似ていますが、なんとバグを発見することでも報酬金がもらえるんです。
バグバウンティのプラットフォームは、誰もが稼ぎながら学習できる機会を与えてくれるので、本当にうれしいです。
初めてプログラムに提出したバグを覚えていますか?
有効なバグということであれば、ブラインドSQLインジェクションでした。
実は初めて報酬金をもらったので、かなり興奮しました。1,000ドルくらいだったので、本当に嬉しかったです。
もちろん、私もくだらないバグを提出してしまったことはあります。すぐに門前払いされ、その過程で学びました。当時の自分の受信トレイを見ると、とても恥ずかしくなります。
脆弱性調査やバグバウンティには、だいたい何時間くらいかけているのでしょうか。
バグバウンティを始めて数年、週末を含めずに仕事が終わってから1日4時間くらいはバグハンティングに費やしていたでしょうか。
実際にこの戦略で上位のランキングに上がることができました。しかし、最近は仕事の関係で時間がなくなってきました。新しい仕事に就き、最近はごく一部のバグバウンティプログラムにしか参加していません。
Samuelさんの地元の状況に興味があります。シンガポールのハッキングシーンはどうでしょうか。そのあたりを少しお聞かせください。
ペネトレーションテスターということであれば、ここシンガポールにはかなりの人数がいると思います。シンガポールにはペネトレーションテスト会社がたくさんありますし、コンサルティング・サービスもあり、数はとても多いです。
バグハンターについては、ほんの一握りで、それほど多くはありません。一番有名なのはSpaceraccoonですが、他にも何人かいます。新型コロナウイルスの影響で、一緒に行動するのが本当に難しくなりましたが、以前はたまに一緒にバグハンティングをすることがありました。
ハッキングで一番感動したことは何ですか?
致命的なバグを見つけた時です。中程度や低レベルのバグを発見しても、あまり興奮しませんが、致命的や高レベルのバグを見つけたら、かなり興奮します。その際は慌てて脆弱性を報告することもありますが、トリアージチームが提出した内容を理解していないと、結局は裏目に出てしまうこともあります。
良い脆弱性があると、幸せな気分になるのはとても良いことですね。私たちのブログを読んでいるのは、初心者の方の傾向が高いのですが、初心者にお勧めの方法はありますか?ターゲットに近づくとき、最初にすることは何ですか?
ほとんどの人にとっては偵察することを推奨します。ですが、まずはハッキングの基本ができていることが重要です。というのも、ほとんどの人が9割方偵察のみで、全くハッキングしないんです。だから、まずは基本的なハッキング技術を知ることが大事だと思います。
もちろん、姿勢も非常に重要です。2つのことを持つことが大切です。僕は「DD」と呼んでいるんですが、「必死であること」と「覚悟を決めること」(Be desperate and determined)です。基本的に、必死さと決意が足りなければ、何も見つからないと考えています。
Burp Suite以外にハッキングのためのお気に入りのツールは何ですか。
残念です、今まさにBurp Suiteと言いたかったんです。でも、それ以外にもChromeデベロッパー・ツールはよく使っています。Bytedanceでの私の役割は、クライアントサイドのセキュリティを担当することです。ここでは、Chromeデベロッパー・ツールの専門知識が必要で、主にJavascriptをより理解しようと努めており、実際によく使っています。
ハッキングのキャリアにおいて、メンターがいた時期はありますか?
多くの人がそうですが、メンターはいませんでした。でも、今考えるといればよかったなと思います。しかし、filedescriptorやFrans Rosénのような尊敬する人物はいます。彼らは本当に素晴らしい人たちであり、彼らから多くを学びました。
では、「どちらかといえば」という質問をいくつかさせていただきますね。協力し合って報奨金を山分けするのと、報奨金を自分のものにするのと、どっちが良いですか?
お金持ちというわけではありませんが、最近はお金を気にしていないので間違いなく協力し合う方ですね。チームでバグハントをして、それが成功したときに満足感を得られるからです。
さて、もう1つ。報奨金を貯めて自分でテスラを購入しますか、それとも家を購入するために貯めますか?
シンガポールにはテスラがないので、家のために貯めます。
そうなのですね、それは知りませんでした。今日は本当にありがとうございました。最後に何か一言お願いします。
Intigriti、特に「Bug Bytes」というバグバウンティブログに感謝したいです。セキュリティ業界に関する最新情報を提供してくれるので、時間の節約になります。
セキュリティ業界の動きは本当に速く、情報は定期的に更新されます。ですから、ペネトレーションテスターやバグハンターが、新しい技術について読みに行けるようなブログで、知識をまとめておくことが重要です。
ーーーーーーーーーーーーーーーーーーーー
出典:Intigriti
https://blog.intigriti.com/2021/06/17/meet-the-hacker-samuel-eng/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。