出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
バグバウンティ識別用HTTPヘッダー「X-Request-Purpose」の分析と運用ガイドライン
最近、新たに注目されているHTTPリクエストヘッダー「X-Request-Purpose」および関連するバグバウンティ識別用ヘッダーについて解説します。これらのヘッダーは、バグバウンティプログラムの一環として送信されるリクエストを識別するために利用されており、セキュリティ運用における扱い方を理解することが重要です。
主要なポイント
- バグバウンティ識別用ヘッダーの存在:「X-Request-Purpose: research」や「X-Hackerone-Research: plusultra」など、バグバウンティ関連のスキャンを示す複数の専用ヘッダーが存在します。
- 利用目的:これらのヘッダーは、バグバウンティ参加者が送信するリクエストであることを示し、企業側がスキャンの正当性を判断しやすくするために用いられています。
- ヘッダーの信頼性:誰でもこれらのヘッダーを送信可能であるため、ヘッダーの存在だけで正真正銘のバグバウンティ参加者と断定できません。
- 運用上の対応:これらのヘッダーを持つリクエストは通常のリクエストと同様に扱い、特別にブロックや許可を行う必要はありません。リクエスト全体の内容に基づいて判断すべきです。
- 推奨事項:まだ導入していないウェブサイト運営者は、/.well-known/security.txt ファイルを設置し、セキュリティ連絡先を明示することが推奨されています。
技術的な詳細や背景情報
「X-Request-Purpose」などのHTTPヘッダーは、リクエストのメタ情報として送信されるカスタムヘッダーです。これらは標準的なHTTP仕様には含まれていませんが、バグバウンティプログラムに参加する研究者が自身のスキャンや調査であることを示すために利用されます。例えば、BugcrowdやHackerOneといったプラットフォームが推奨しているケースがあります。
こうしたヘッダーは、企業が受け取る大量のトラフィックの中からバグバウンティ関連のリクエストを識別し、誤検知や誤対応を減らす目的があります。ただし、ヘッダーの内容は簡単に偽装可能であるため、これだけで信頼性を保証することはできません。
また、/.well-known/security.txt はIETFのRFC9116で規定された標準的なセキュリティ連絡先ファイルであり、バグバウンティ参加者やセキュリティ研究者が適切な連絡先を容易に見つけられるようにするものです。
影響や重要性
バグバウンティ識別用ヘッダーの導入は、企業とセキュリティ研究者双方にとってメリットがあります。企業は不審なスキャンと正当なバグバウンティ調査を区別しやすくなり、誤検知による対応コストを削減可能です。一方、研究者は自分たちの活動が正当なものであることを示しやすくなり、コミュニケーションの円滑化につながります。
しかし、ヘッダーの偽装リスクも存在するため、これらの情報だけに依存せず、総合的なセキュリティ判断が求められます。また、/.well-known/security.txt の設置は、セキュリティインシデント発生時の迅速な対応を可能にし、組織の信頼性向上にも寄与します。
まとめ
「X-Request-Purpose」などのバグバウンティ識別用HTTPヘッダーは、バグバウンティプログラム参加者のリクエストを示すために利用されていますが、偽装可能なため過信は禁物です。運用上はこれらのヘッダーを特別視せず、通常のリクエストと同様に扱うことが推奨されます。また、/.well-known/security.txt ファイルの設置を通じて、セキュリティ連絡先を明確にすることが重要です。これらの取り組みは、企業とセキュリティ研究者双方の円滑な協力関係構築に寄与します。
