2023年9月 キラリ☆電大生 春間 祐希さん

学園広報誌「TDU Agora」2023年9月号から『キラリ☆電大生』春間 祐希さんをご紹介します

“バグハンター ”としてソフトウェアの脆弱性を発見

~常識を疑い、世界共通の課題に取り組む~

春間 祐希さん
工学部 情報通信工学科 4 年

私は、世界中のウェブサイトの約4割で利用されている、コンテンツ管理システムのWordPressというソフトウェアのプラグインの脆弱性について発見・報告を行っています。
私がWordPressのプラグインの脆弱性を探したいと考えたきっかけは、個人的に行っているウェブサイトの制作代行で完成したサイトに対して、様々な国からプラグインの脆弱性や設定不備を狙ったサイバー攻撃を仕掛けて来た痕跡があり、脆弱性を地道に修正していくことは非常に重要なことであると考えた為です。幸い、自身が制作したウェブサイトでは攻撃を未然に防げたのですが、今後の被害を減らすためにも脆弱性を見つけて社会に貢献したいと考え、プラグインの脆弱性を探すようになりました。

研究室にて(左が筆者)

脆弱性を発見するにあたって、まずはクロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの基本的な脆弱性の発生原因や原理を学ぶことから始めました。その後、研究室内で過去に先輩方が発見した脆弱性について調べ、海外のセキュリティ関連のブログの閲覧、ChatGPTやGPT-3などの大規模言語モデルに対してプロンプトハッキングを行い、AIの安全性を向上させるコンテストに参加することで、知識を増やしていきました。
これらの努力のおかげで、2か月の間に約30件の脆弱性を発見・報告することが出来ました。また、一部のプラグインの開発者からは謝辞としてパッチノートに氏名の記載をしていただけました。また、プロンプトハッキングコンテストでは好成績を残すことが出来ました。私が発見した脆弱性には一意の識別子が付与され、半永久的に功績として公開されるので、モチベーションを維持することが出来ます。

今までに発見した脆弱性一覧

脆弱性データベースPatchstack 社の2023年3月脆弱性報告数ランキングでは9位に

今後は、今までと同様にプラグインの脆弱性を探しつつ、機械学習を用いた脆弱性自動検知システムの開発を進めていきたいと考えています。また、社会人になった際にはセキュリティに関してアドバイスできる技術者になりたいと考えています。

昨年度は優秀な学生を表彰する学部長賞を受賞

学園広報誌「TDU Agora」Vol.67(2023年9月号) キラリ☆電大生より転載

◆ご意見、ご感想、情報など是非お寄せください。
【編集・発行】学校法人東京電機大学 総務部企画広報担当
120-8551東京都足立区千住旭町5番 
E-mail:keiei★dendai.ac.jp(★をアットマークに換えてください)

関連コンテンツ

その他のコンテンツ