出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
バグバウンティ識別用のX-Request-Purposeヘッダーの実態と対策
近年、バグバウンティプログラムに参加するセキュリティ研究者がHTTPリクエストに特定のヘッダーを付与し、自身の活動を明示するケースが増えています。特に「X-Request-Purpose」などのカスタムヘッダーは、バグバウンティのスキャンや調査であることを示すために利用されています。本記事では、このヘッダーの実態とそれに対する適切な対応策について解説します。
主要なポイント
- バグバウンティ識別用のカスタムヘッダーの存在
「X-Request-Purpose: research」や「X-Hackerone-Research」などのヘッダーは、バグバウンティの一環として送信されるリクエストを識別するために使われています。これらは一部の企業がルールとして導入しているケースもあります。 - ヘッダーの正当性は保証されない
これらのヘッダーは誰でも自由に付与可能であり、必ずしも正規のバグバウンティ参加者からのリクエストとは限りません。したがって、ヘッダーの存在だけで信頼性を判断するのは危険です。 - 防御側の対応はリクエスト内容に基づくべき
バグバウンティ識別ヘッダーを理由に特別な扱いをするのは推奨されません。通常のアクセス制御やセキュリティ対策を適用し、ヘッダーの有無にかかわらずリクエストの内容で許可・拒否を判断すべきです。 - ハニーポットでの検出例とその意味
これらのヘッダーを含むリクエストがハニーポットで検出されることがありますが、必ずしも悪意のない正規研究者とは限りません。企業ネットワーク内に設置されたハニーポットの場合、スコープ内の正規スキャンの可能性もあります。 - セキュリティ情報公開の推奨
バグバウンティプログラムを運営していないサイトでも、/.well-known/security.txt ファイルの設置により、脆弱性報告の窓口を明示することが推奨されています。
技術的な詳細や背景情報
HTTPヘッダーは、クライアントとサーバー間で送受信されるメタデータであり、リクエストの目的や属性を示すために利用されます。カスタムヘッダーは標準仕様には含まれませんが、独自の意味付けで運用されることがあります。
「X-Request-Purpose」や「X-Hackerone-Research」などのヘッダーは、バグバウンティプログラムの参加者が自らの調査活動を明示し、企業側がそれを識別しやすくするために使われます。例えば、BugcrowdやHackerOneといったプラットフォームでは、調査者に対してこれらのヘッダーの使用を推奨または義務付けることがあります。
しかし、HTTPリクエストは改ざんが容易であるため、これらのヘッダーの有無だけでリクエストの正当性を判断することはできません。攻撃者が悪用するリスクもあるため、防御側はヘッダーの存在に過度に依存しないことが重要です。
影響や重要性
バグバウンティプログラムは、企業のセキュリティ強化に大きく寄与していますが、調査活動を識別するための仕組みが不十分だと、誤検知や対応の遅れにつながる恐れがあります。X-Request-Purposeヘッダーのような識別手段は、調査者と企業のコミュニケーションを円滑にし、問題発生時の連絡を容易にするというメリットがあります。
一方で、この仕組みを過信すると、悪意ある攻撃を見逃したり、逆に正規の調査を不当にブロックしてしまうリスクもあります。したがって、ヘッダーの存在はあくまで参考情報として扱い、総合的なリスク評価に基づく対応が求められます。
まとめ
バグバウンティ識別用の「X-Request-Purpose」などのカスタムHTTPヘッダーは、調査活動を明示し企業側の対応を助ける有用な手段です。しかし、これらのヘッダーは容易に偽装可能であり、防御側はヘッダーの有無に依存せず、リクエストの内容に基づいて適切に対応する必要があります。
また、バグバウンティプログラムを実施していないウェブサイトでも、/.well-known/security.txt ファイルを設置し、脆弱性報告の窓口を明示することが推奨されます。これにより、セキュリティ研究者との円滑なコミュニケーションが促進され、より安全なウェブ環境の構築に寄与します。
