Hello there, ('ω')ノ
💡 はじめに:専門家でなくても参加できる
結論から言うと、専門家でなくても、バグバウンティには参加できます。
実際、バグバウンティ参加者の中には、
- IT未経験から勉強を始めた人
- 学生や副業目的の会社員
- エンジニア職ではないがセキュリティに興味がある人
など、さまざまな人がいます。
ただし「まったく何も知らずに始める」のは難しいので、最低限の技術や考え方を身につけることが大切です。
📘 初心者が身につけるべき5つの基本スキル
1. Webの仕組みを理解する
バグバウンティの対象は、ほとんどがWebサービスやアプリケーションです。
そのため、以下のような基礎知識が役立ちます:
- URLやドメインの構造
- HTTPリクエスト/レスポンスの流れ
- クッキーやセッションの仕組み
- HTMLやフォームの送信方法
🔧 学習リソース:
- ドットインストール(日本語の動画教材)
- Progate(Web基礎コース)
2. セキュリティの基本用語と攻撃手法を知る
「バグを探す=セキュリティ上のミスを見抜く」ことなので、代表的な攻撃手法は押さえておきましょう。
特に初心者がよく遭遇するのは以下のようなもの:
| 攻撃名 | 内容 | 難易度 |
|---|---|---|
| XSS(クロスサイトスクリプティング) | スクリプト注入で表示改ざん | ★★☆☆☆ |
| CSRF(クロスサイトリクエストフォージェリ) | 勝手に操作を実行させる | ★★☆☆☆ |
| IDOR(間接的なアクセス制御の不備) | 他人の情報にアクセス可能になる | ★★☆☆☆ |
| SQLインジェクション | データベース操作のすり替え | ★★★☆☆ |
🔧 学習リソース:
- OWASP WebGoat(演習付きの学習教材)
- PortSwigger Web Security Academy(無料&高品質)
3. Linuxの基本操作
多くのセキュリティツールはLinux環境で動作します。 次のような操作ができると便利です:
- ターミナルでのコマンド操作(cd、ls、curl、wgetなど)
- パーミッションやディレクトリ構造の理解
- テキストファイルの編集(vim、nano、catなど)
🔧 おすすめ学習法:
- 仮想環境でUbuntuを使ってみる(VirtualBoxなど)
- WSL(Windows Subsystem for Linux)で気軽に体験
4. ブラウザの開発者ツールの使い方
コードを書かなくても、ブラウザだけで調査できることはたくさんあります。
- F12キーで「開発者ツール」を起動
- 「ネットワーク」タブでリクエストの中身を確認
- HTMLやJSの構造を見ながらXSSのポイントを探す
🔧 ワンポイント: Google Chromeの開発者ツールは特に機能が充実しています。
5. ツールの基本操作(Burp Suiteなど)
バグバウンティ界の定番ツール「Burp Suite(バープスイート)」は、Webの通信を傍受・操作できるツールです。
- 通信をキャプチャして中身を確認
- リクエストを書き換えて脆弱性を試す
- 自動スキャンやリピーター機能も便利
🔧 初心者向けには「Burp Suite Community Edition(無料版)」がおすすめ。
🗂 スキルを効率よく学ぶロードマップ(例)
- ✅ Webの基礎を学ぶ
- ✅ セキュリティの基礎用語と攻撃例を理解する
- ✅ 仮想環境でLinuxを触ってみる
- ✅ ブラウザで調査の練習をする
- ✅ Burp Suiteや簡単なCTFに挑戦してみる
※一気に全部覚える必要はありません! まずは「興味のある部分から少しずつ」がコツです。
🧠 大事なのは「技術」よりも「考え方」
技術があることももちろん大切ですが、 最も重要なのは「なぜこれが危険なのか?」という視点を持つことです。
たとえば、
- 「このフォーム、認証なしで送信できたら…?」
- 「このAPI、他のユーザーIDを入れたらどうなる…?」
といった「もしも?」の発想が、バグ発見の第一歩になります。
✅ まとめ:最初の一歩は“好奇心”でOK
- 専門的な知識がなくても、基本的なWebとセキュリティの理解があれば始められる
- 学習には無料ツールや教材が多数ある
- 大切なのは「調べて試す」「失敗して学ぶ」姿勢
「勉強しながら参加する」が、バグバウンティの醍醐味です。
Best regards, (^^ゞ
