出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32436
原題: X-Request-Purpose: Identifying "research" and bug bounty related scans?, (Thu, Oct 30th)
バグバウンティ識別用「X-Request-Purpose」ヘッダーの実態と対応策
近年、バグバウンティプログラム参加者が自身のリクエストを識別するために新たなHTTPヘッダー「X-Request-Purpose」などを利用するケースが増えています。本記事では、このヘッダーの実態と企業が取るべき対応策について解説します。
主要なポイント
- 新しい識別用ヘッダーの登場:「X-Request-Purpose: Research」や「X-Hackerone-Research」「X-Bugcrowd-Ninja」など、バグバウンティ参加者が自身のリクエストを示すためのヘッダーが確認されている。
- ヘッダーの目的:これらはバグバウンティの一環であることを企業側に知らせ、問題発生時に研究者と連絡を取りやすくするために用いられている。
- ヘッダーの信頼性:誰でもこれらのヘッダーを送信可能なため、正当性の保証はなく、ヘッダーの有無だけで信頼判断をするべきではない。
- 防御側の対応:これらのヘッダーを特別扱いせず、リクエスト全体の内容に基づいて許可・ブロックを判断すべきである。
- 推奨されるセキュリティ情報公開:まだ導入していない企業は、/.well-known/security.txt ファイルの設置により、バグバウンティ参加者と円滑な連絡を可能にすることが推奨される。
技術的な詳細や背景情報
HTTPリクエストヘッダーは、クライアントがサーバーに送信する追加情報です。今回注目された「X-Request-Purpose」や「X-Hackerone-Research」などのカスタムヘッダーは、標準仕様には含まれていませんが、バグバウンティプログラムの参加者が自らの活動を識別するために独自に定めているものです。
例えば、BugcrowdやHackerOneといったバグバウンティプラットフォームでは、参加者にこれらのヘッダーの利用を推奨する場合があります。これにより、企業側はバグバウンティに関わるスキャンやテストを通常の攻撃や悪意あるアクセスと区別しやすくなります。
しかし、このヘッダーは認証や署名がないため、誰でも偽装可能です。そのため、防御側はこれらのヘッダーの有無だけでアクセス制御を行うのは危険です。代わりに、リクエストの挙動やIPアドレス、ユーザーエージェントなど複数の要素を総合的に判断する必要があります。
また、/.well-known/security.txt はIETFのRFC9116で規定されたセキュリティ連絡先情報を公開するための標準的なファイルです。ここにバグバウンティプログラムの連絡先やポリシーを記載することで、研究者と企業のコミュニケーションが円滑になります。
影響や重要性
バグバウンティプログラムは、企業のセキュリティ強化に大きく貢献していますが、一方で誤検知や誤ブロックによるトラブルも発生しやすい分野です。識別用ヘッダーの導入は、こうしたトラブルを減らす一助となる可能性があります。
しかし、偽装のリスクを考慮し、単一の識別手段に依存しない防御体制が求められます。適切な対応を取ることで、バグバウンティ参加者との良好な関係を維持しつつ、サービスの安全性を確保できます。
まとめ
「X-Request-Purpose」などのバグバウンティ識別用ヘッダーは、研究者の活動を明示し企業との連絡を円滑にするための有用な手段です。しかし、これらのヘッダーは偽装可能であるため、単独での信頼は危険です。企業はこれらのヘッダーを特別扱いせず、リクエスト全体の状況に基づいて適切に対応することが重要です。
さらに、/.well-known/security.txt の設置により、バグバウンティプログラムの連絡先を明確にし、研究者とのコミュニケーションを強化することが推奨されます。これらの対策を通じて、より安全で協力的なセキュリティ環境を構築しましょう。
