出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
「X-Request-Purpose」ヘッダーの実態とバグバウンティ識別への対策
近年、バグバウンティプログラムに関連したHTTPリクエストヘッダーとして「X-Request-Purpose」などの新たなヘッダーが注目されています。これらはバグバウンティ参加者が自身のリクエストを明示的に示すために使われており、セキュリティ運用における新たな課題と対策の検討が必要です。
主要なポイント
- バグバウンティ識別用ヘッダーの存在:「X-Request-Purpose: Research」や「X-Hackerone-Research」などのヘッダーは、バグバウンティプログラム参加者が自身のリクエストを識別するために使用されています。
- 企業側の導入例:一部の企業(例:Web.com)は、バグバウンティ参加者にこれらのヘッダーの付与を求めており、リクエストの正当性や連絡の容易化を図っています。
- ヘッダーの信頼性の限界:これらのヘッダーは誰でも送信可能であり、必ずしも正真正銘のバグバウンティ参加者からのものとは限りません。
- 防御側の対応方針:これらのヘッダーを理由にリクエストを特別扱いせず、リクエスト全体の内容に基づいて許可・ブロックを判断することが推奨されます。
- セキュリティ連絡先の整備:まだ導入していないサイト管理者には、/.well-known/security.txt ファイルの設置を推奨し、脆弱性報告の窓口を明確にすることが重要です。
技術的な詳細や背景情報
「X-Request-Purpose」などのカスタムHTTPヘッダーは、リクエストの目的や送信者の属性を示すために設計されました。特にバグバウンティプログラムでは、研究者が行うスキャンや脆弱性検査のトラフィックを識別し、誤検知や誤ブロックを防ぐ狙いがあります。
例えば、以下のようなヘッダーが使われます:
X-Request-Purpose: Research— リクエストが調査目的であることを示す。X-Hackerone-Research: plusultra— HackerOneプラットフォーム上の研究者名を示す。X-Bugcrowd-Ninja: plusultra— Bugcrowdプラットフォーム上の研究者名。X-Bug-Hunter: true— バグハンターであることの明示。
しかし、これらはあくまで任意の情報であり、悪意ある者が偽装することも可能です。したがって、これらのヘッダーだけでリクエストの信頼性を判断するのは危険です。
影響や重要性
バグバウンティプログラムの普及に伴い、企業は正当な研究者のトラフィックと悪意ある攻撃を区別する必要があります。これらのヘッダーは識別の一助となりますが、誤った信頼はセキュリティリスクを招く可能性があります。
また、バグバウンティ参加者が自身を明示することで、企業側は問題発生時に迅速に連絡を取ることが可能となり、対応の効率化が期待できます。一方で、ヘッダーを盲信せず、総合的なログ解析やトラフィック分析を行うことが重要です。
まとめ
「X-Request-Purpose」などのバグバウンティ識別用ヘッダーは、研究者と企業の双方にとって利便性を高めるツールです。しかし、これらのヘッダーは容易に偽装可能であるため、防御側はリクエスト全体の内容を踏まえた判断を行うべきです。さらに、セキュリティ連絡先を明示する /.well-known/security.txt の設置は、脆弱性報告の円滑化に寄与します。これらのポイントを踏まえ、適切な運用と対策を検討しましょう。
