Synack Red Team でバグバウンティをしている話

2022年後半ごろにSynack Red Team(SRT)に入り、副業でバグバウンティをしています。
日本人メンバーが少なくあまり情報もないので、ある程度報告を行ったリサーチャー目線でプラットフォームの特徴や選考プロセスについて共有します。ブログ公開についてはSynackの許諾済みです。

Synack Red Teamに入るまで

他のバグバウンティプラットフォームとSynackの大きな違いは、やはりメンバーになる前に選考プロセスがある、ということだと思います。
この選考プロセスが結構長くて、自分の場合は全部合わせて2,3カ月くらいかかりました。

  • 履歴書
    他プラットフォームでのバグバウンティの実績や CVE 取得経験などを書くと良いと思います。
  • 技術面接
    Hack The Box 上で Synack のために用意された CTF を解いていきます。「WEB」や「HOST」といった問題セットがあり、メンバーになるためにはいずれかのセットを全て正解する必要があります。
    「WEB」を全問正解するとWEBターゲット、「HOST」を全問正解するとHOSTターゲットへのバグバウンティ参加が認められるようになります。
  • ビデオ面接
    英語でビデオ面接とか無理!って思う方がいるかもしれません。自分も英語自信ないのでこれがハードルで応募できない時期がありました。
    でも大丈夫、読み書きができるなら問題ないようになっています。
  • 経歴チェック
    就活でも経験したことがないものだったので結構構えちゃいましたが、悪いことしたことがなく、嘘をついていなければ大丈夫だと思います。このプロセスが一番時間かかりました。

現在は持っている資格に応じて、履歴書や技術面接をbypassできます。
例えばOSCPなら履歴書のみ、OSWEならWEBの技術テスト、OSCE3なら履歴書と技術テストをbypassできます。他の資格などの詳細はこちらから確認できます。個人的に資格とバグバウンティは結びつかないと思うので、ここらへんは実績を基準に変えてほしいなとは思ってます。

自分が申し込みした際は技術テストのbypass制度がありませんでしたが、Synack Acropolis の方にDMを送ってリファラルしてもらい、選考待ち時間を減らしてもらうことで比較的スムーズに進みました。

Synack の特徴

Synack の特徴について書いていきます。他のプラットフォームと比較して一長一短だなと感じます。

トリアージと報奨金支払いの素早さ

脆弱性報告してから一週間以内にはトリアージ、報奨金の支払いまでされることが多いです。他のプラットフォームでは早くても一週間以上かかることがほとんどだったり、Criticalな報告でも半年以上待たされることもありました。
これが遅いとアップデートが気になってしまったり、モチベ下がったりしちゃうんですよね。これが早いと収入の予想がつきやすいので結構嬉しいです。

専用の診断環境

Synack ではリサーチャーごとに診断用マシンが割り当てられます。このマシンにRDP接続して、その環境からしかテストできないターゲットがほとんどです。
もちろん自宅の環境よりもスペックは低いし回線も遅めですが、イライラするほどではないです。Level(あとで解説)が上がると少し良いマシンが割り当てられるようになります。

企業側がSynackからのリクエストを判別できる、というメリットしかないように感じますが、リサーチャーにとってもメリットがあります。他のプラットフォームではターゲットに対して年中独自のスキャンを回しまくってるような人たちがいますが、そのような調査方法はSynackでは行いにくく、少しだけ競争が緩やかになるように感じます。

脆弱性の統計機能

他のリサーチャーがどんな脆弱性報告してるのかって気になりますよね。
そういった情報をある程度確認することができる機能がSynackにはあります。
レポートや具体的なペイロードまでは見ることができませんが、「いつ」「どのパスに」「どの種類の脆弱性」が報告されたか知ることができます。
duplicateが発生しにくい上、自分が見つけられなかった脆弱性がどういうものだったのか調べることもできるので嬉しい機能です。

脆弱性インパクトを重視

他のプラットフォームも同様かと思いますが、脆弱性診断でLowで報告されるような脆弱性Rejectされることがほとんどです。 Vulnerable(=脆弱性がある)であることを報告するだけではダメで、Exploitable(=悪用可能)であることを報告しなければなりません。

プログラムの種類

プログラムは「WEB」「HOST」のいずれかである場合がほとんどです。技術面接で正答できたプログラムへの参加が認められますが、技術面接でWEBしか解けなかった場合でも、チームに入ってからHOSTの再試験を受けることもできます。

  • WEB
    通常のバグバウンティと変わらない、と捉えてOKかと思います。
    他のプラットフォームではターゲットごとに禁止事項等のルールが結構バラバラなイメージがありますが、Synackはルールが共通になっていることが多い印象です。
  • HOST
    こちらは他のプラットフォームから入った人は少し困惑するように思います。
    WEBとの主な違いとしては、受け付ける脆弱性の違いです。HOSTはReflected XSSCSRF すら受け付けられず、侵入に繋がるような脆弱性しか認められません。
    WEBに比べてスコープが広い傾向にあります。また、内部ネットワークのマシンがターゲットになることもあります。

WEBやHOST、内部/外部といった場合に応じて、観点を変えたりツールを調整して調査するのも面白いポイントです。

missionという制度

通常のプログラムとは別に、missionと呼ばれる制度が存在します。
例えば「この機能でこの脆弱性がないか確認して」といったタスクをこなすことで報奨金が貰える仕組みです。
脆弱性調査の手順をレポートに書き、脆弱性が見つかっても見つからなくても報奨金が貰えます。もちろん見つかった場合は報奨金が高くなります。

ただしmissionはあまり見かけることがなく、脆弱性が見つかったとしても報奨金が少なめです。
基本的にmissionが追加されたらすぐに誰かが持っていくので経験することはほとんどないです。自分も一度しか経験したことがありません。

修正確認への報奨金

値段はかなり少ないですが、企業側が脆弱性修正後、リサーチャーに対して修正確認を出すことがあります。
5分くらいの作業で$50貰えるので、あったら割と嬉しいです。bypassができたら少しだけ増えます。

writeup が公開不可

頑張って見つけた面白い脆弱性はwriteupを公開したくなると思います。他のプラットフォームにあるようなレポート公開機能がないどころか、外部からリサーチャーごとの報告実績も見ることができません。

ポイント制度

脆弱性報告に応じてポイントが貰えます。XSSを報告するとおおよそ100~150pt、RCEだと200~300ptのポイントが貰えます。
他のプラットフォームだと、獲得ポイントに応じてプライベートプログラムへの参加への招待に使われることが多いですが、そのような用途では用いられていません。

SRT は獲得ポイントに応じてLevel0x01~0x05に分類されます。Levelが高いと先述した調査環境のマシンのスペックに影響する以外にも、状況に応じて報奨金が5~10%増えたりします。
また、このLevelや「1年間で何pt以上」「ランキングで何位以上」といった基準をクリアした人が表彰される制度があります。
表彰されたリサーチャーはAcropolisに掲載され、これに選ばれて初めて外部公開できるプロフィールを作ることができます。

Recognition プログラム

獲得したポイントに応じてSynackからSwagが貰える制度です。
貰えるSwagは靴や椅子など貰えたら結構嬉しいもので、獲得ポイントが高いほど良いものが貰えます。
1年間で10000ポイント必要なので結構ハードルはかなり高いです。

なんやかんや競争激しめ

選考プロセスがあるため、リサーチャーが少ないです。
全世界で1500人ほどメンバーがいるみたいですが、HackerOne のユーザに比べると相当少ないと思います。 ルールにかなり癖があるため、これを好まずに活動していない層も結構いるように思います。正直他のプラットフォームに比べると調査は不自由になりがちです。

そんなこんなで比較的競争は緩やかですが、それでもかなり競争は激しいと感じます。 新しいプログラムに真っ先に招待されたとしても、上位リサーチャーが数日で結構な数の脆弱性を狩ってるイメージがあります。

報奨金に関するルールが詳細に決められている

他のプラットフォームでは、プログラムごとに報奨金が変動することが多いです。
Synack の場合は、脆弱性の種類ごとに報奨金をSynackが独自に定めています。設定金額は下限が高く、上限は低い印象です。

他のプラットフォームでは報奨金が低すぎて不快になることがありましたが、Synack ではそのような経験がないです。一方で上限も決まっているので、どれくらい高くなるのかワクワクする気持ちになることはないです。

他にも、root causeが同じ脆弱性の報奨金は低くなるようになっています。
例えば、同じパス、同じペイロード、同じパラメータで発火するXSSが複数ドメインで見つかった場合、報奨金をフルで貰えるのが1つ目の報告のみ、2つ目以降は何十%減額、3つ目以降は...といったルールがあります。
パス、ペイロード、パラメータ、ドメイン、etc. それぞれが【同じ/異なる】の組み合わせがかなり細かく設定されています。
このルールはリサーチャー間でも適応されるため、 脆弱性の統計機能をハイエナして脆弱性稼いじゃおう!といった試みができないようになっています。

報奨金の細かいルールによって、root causeが同じ脆弱性を横展開して大量に報奨金を得る、といったバグバウンティに感じていた不健全な部分が排除されているのは良い点だと思います(企業側観点)。

VDP がない

VDP に参加したらポイントが貰える!みたいな制度がないです。ちゃんと脆弱性を見つけると報奨金が貰えます。

まとめ

Synack Red Teamの特徴についてまとめてみました。
最近Offsec関連のコミュニティが盛り上がってるなーと感じるので、バグバウンティやる人も増えていくと嬉しいです。
バグバウンティは脆弱性診断やOffsec資格、CTF とは全く別物と思った方が良いです。これらの経験がある人も、まずはVDP 等の経験を少し積んでから応募してみると良いと思います。書いた通りSynackは癖があるので、一般的なバグバウンティにおける調査~報告の流れを経験していないと困惑すると思うからです。 boards.greenhouse.io

質問等あればご気軽に Twitter