出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
Bug Bounty識別用HTTPヘッダー「X-Request-Purpose」の実態と対策
近年、バグバウンティプログラムに参加するセキュリティリサーチャーが、調査対象のウェブアプリケーションに対して「X-Request-Purpose」などのカスタムHTTPヘッダーを付加するケースが増えています。本記事では、このヘッダーの実態やセキュリティ上の課題、そして適切な運用方法について解説します。
主要なポイント
- 「X-Request-Purpose」ヘッダーの役割:バグバウンティ活動のリクエストであることを示すためにリサーチャーが任意で付加するカスタムHTTPヘッダーです。例として「X-Request-Purpose: BugBounty」などがあります。
- 識別の利便性と課題:企業側はこのヘッダーを使い調査リクエストをトラッキングしやすくなりますが、全リサーチャーが統一的に使用しているわけではなく、誤認や識別漏れのリスクがあります。
- セキュリティリスク:攻撃者がこのヘッダーを偽装して悪意あるリクエストを送信し、誤って優先処理や信頼を得る可能性があるため、ヘッダーの有無だけで信頼判断するのは危険です。
- 他の類似ヘッダーの存在:「X-Hackerone-Research」や「X-Bugcrowd-Ninja」など、バグバウンティプログラムで使われる複数のカスタムヘッダーが存在し、これらも同様の目的で利用されています。
- 推奨される対策:ヘッダーはあくまで補助情報として扱い、認証や検証と組み合わせること。統一的な運用ルールの策定やログ監査の強化、不審リクエストの追加検証が重要です。
技術的な詳細や背景情報
HTTPヘッダーはクライアントとサーバー間で送受信されるメタ情報であり、標準ヘッダー以外に「X-」で始まるカスタムヘッダーを自由に定義できます。バグバウンティリサーチャーは自身のリクエストを識別しやすくするために、「X-Request-Purpose: Research」や「X-Hackerone-Research: plusultra」などのヘッダーを付加します。
これらのヘッダーは、例えばBugcrowdやHackerOneなどのプラットフォームで推奨されることもあり、企業側はログや監査システムでこれらを検知してバグバウンティ関連のリクエストを区別しやすくなります。しかし、これらはあくまで任意の情報であり、誰でも自由に送信可能なため、真正性の保証はありません。
また、RFC 9116で規定されている /.well-known/security.txt ファイルの設置は、バグバウンティプログラムの連絡先やポリシーを明示する手段として推奨されており、ヘッダー識別と併せて利用することでより安全な運用が可能です。
影響や重要性
「X-Request-Purpose」などのヘッダーは、バグバウンティ活動を円滑に進める上で有用な識別手段となります。企業はこれらを活用して調査リクエストを効率的に管理し、適切な対応を行いやすくなります。
一方で、ヘッダーの偽装による悪用リスクも存在し、単純にヘッダーの有無でリクエストの信頼性を判断すると誤った対応を招く恐れがあります。したがって、これらのヘッダーはあくまで補助的な情報として扱い、多層的なセキュリティ対策の一環として運用することが重要です。
まとめ
バグバウンティ識別用のHTTPヘッダー「X-Request-Purpose」や類似のカスタムヘッダーは、リサーチャーのリクエストを識別しやすくする便利な手段ですが、偽装のリスクがあるため単独での信頼判断は避けるべきです。企業はヘッダーを補助情報として活用しつつ、認証・検証やログ監査など多層的な対策を組み合わせることが求められます。また、統一的な運用ルールの策定や /.well-known/security.txt の設置も推奨され、安全かつ効率的なバグバウンティプログラム運営に寄与します。
