脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった：Googleへの報告件数は世界2位

脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。

[國谷武史，ITmedia]

　ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。

　GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。

音楽とXSSが好き

　キヌガワさんの正体はベールに包まれている。CODE BLUEで初めてその姿を拝見したが、写真撮影はNGとのことで、本記事では講演の内容をお伝えしたい。

　なお、一部関係者の間で「キヌガワさんは日本人？」と疑問に思われてしまっているとのこと。どうやら、ITmediaの記事で「日本人と思われる『キヌガワ・マサト』氏」と紹介したことが原因らしい。この記事の編集担当者として、講演会場でご本人にお詫びを伝えることができなかった。「キヌガワさん、ごめんなさい」。キヌガワさんは日本人です。

　キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング（XSS）。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は「27135346」円だった（ちなみにこの数字は8進数）。2014年は収入がアップしそうだという。

　キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。報告内容ではXSSが73％を占め、キヌガワさんの強みが目立っている。

　バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。

　こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。

　しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。

思わぬ点に脆弱性発見の楽しみ

バグ探しのプロ、キヌガワさんはさわやかな感じ方でした

　キヌガワさんがバグ探しに魅力を感じるのは、成果が評価されるというだけではなく、コードやWebブラウザの複雑な挙動の中から、まるで「宝物」を見つけ出したかのような喜びを感じられるからだという。

　講演ではその一例として、Googleアカウントのページから見つかったXSSの脆弱性を紹介してくれた。

　この問題はoeパラメータに起因するといい、URLでOTF-32の文字コードを指定して任意のJavaスクリプトを実行できてしまう。Googleアカウントに関わる大きな問題を発見したとして、キヌガワさんには5000ドルの報奨金が支払われた。

　脆弱性ではバイト値の変換とWebページの文字コード、「0x00」（10進数では“ゼロ”）文字の解釈がポイントになるという。UTF-32では4バイトで1つの文字を表す。また、Internet Explorer（IE）ではUTF-32をサポートしておらず、文字コードが分からないページを表示する際は、IEが近い文字コード（UTF-32以外）で判断しようとする。「0x00」の文字は「ゼロ＝存在しない」としてIEでは無視されてしまう。そこで細工したコードを入力すると、任意のコードを実行できるようになるという。

　キヌガワさんによれば、ChromeブラウザやSafariではUTF-32をサポートしているものの、IEやOpera、FirefoxではUTF-32をサポートしないことが判明した。こうしたWebブラウザごとに異なる挙動を深く理解することは難しいだろう。こうした難易度の脆弱性やバグを発見できたことが、モチベーションになっているようだ。

好きこそものの上手なれ

　キヌガワさんが生粋のバグハンターなのかというと、実は違うそうだ。コンピュータ系の専門学校に在籍していた2009年にふとしたきっかけでXSSに“目覚め”、脆弱性探しに興味を覚えたのだという。

　ちょうどその頃にGoogleの報奨金制度がスタート。当初から報奨金獲得を狙うというより、趣味としての脆弱性探しへ取り組むうちに、世界トップクラスのバグハンターとして知られる存在になっていた。

　最後に将来の夢についてキヌガワさんは、結婚をして、“主夫”をしながら脆弱性を続けたいと語った。ただ、バグハントの実力は世界でも指折りながら、“女子ハント”のスキルが足りていないことが切実な問題だという。こう締めくくり、会場の喝采を博した。