概要

ハッカソンのセキュリティ部門において、競技として脆弱性調査を行う対象の製品 (ソフトウェア、またはハードウェア) を提供していただけるスポンサー企業様を募集しています。
製品提供に関する条件は以下の通りです。

製品提供の条件について

弊社および参加者とスポンサー企業様の間では、秘密保持契約を結んだ上で競技を実施するため、競技対象となる製品名や脆弱性に関する情報などが外部に公開されることはありません。
その上で、製品がソフトウェアかハードウェアかによって、次のような条件があります。

ソフトウェア製品の場合

• 対象のソフトウェア製品を仮想マシン内にセットアップした環境を競技環境として参加者に配布
• 参加者は、各自仮想マシンをインポートおよび起動して競技 (脆弱性調査) を実施
• 少なくとも参加者の人数分の仮想マシンおよび対象ソフトウェア (ライセンス等含む) が必要
• ソースコードの提供は必須ではありません

ハードウェア製品の場合

• 少なくとも参加チーム数分の実機 (ハードウェア) が必要
• 参加者は、持参する PC から機器に対して有線または無線で接続し、競技 (脆弱性調査) を実施

セキュリティハッカソンの歴史

セキュリティハッカソンは、2013 年を最初に医療から始まり、IoT 、AI 、ブロックチェーンという多様な分野にわたって、社会的に重要な課題でもある「情報セキュリティ」という主軸のテーマとの掛け合わせで開催し、2018 年で 6 回目を迎えます。
セキュリティハッカソン競技は、実用化されている製品 (ソフトウェアもしくはハードウェア) に対し、 情報セキュリティ研究者が一同に会して、コンテスト形式により集中的な脆弱性調査を実施することで、業界における情報システム開発の現状や情報セキュリティ対策の必要性を明らかにし、業界全体の情報セキュリティを向上させることを目的としています。
既に実用化、商用サービス化の実績のあるオープンソースソフトウェアを主な対象として例年競技を実施してきたことで、限られた競技時間の中でも深刻な脆弱性が新たに発見され、各業界での情報セキュリティを想定したソフトウェアの設計や開発の必要性を再確認しています。

過去に発見された脆弱性の実績

ハッカソン競技中に実際に発見された脆弱性の内容は、CWE で分類すると次のようなものになります。(以下は一部になります)
※CWEは、脆弱性のタイプを分類した世界的な基準です。詳しくは下記のページをご覧ください。
共通脆弱性タイプ一覧CWE概説：IPA 独立行政法人 情報処理推進機構

• CWE-287 不適切な認証
• CWE-22 パス・トラバーサル
• CWE-Other その他
• CWE-20 不適切な入力確認
• CWE-119 バッファエラー
• CWE-79 クロスサイト・スクリプティング (XSS)
• CWE-352 クロスサイト・リクエスト・フォージェリ (CSRF)
• CWE-434 危険なタイプのファイルの無制限アップロード
• CWE-269 不適切な権限管理
• CWE-134 書式文字列の問題
• CWE-399 リソース管理の問題

お問い合わせ先

詳細のお問い合わせは下記までお願いいたします。(□は@に変更をして送信してください)
メールアドレス : info□fukushimahackathon.jp
担当 : 金子