2024年版「Top 10 Web Hacking Techniques」募集開始：PortSwiggerがコミュニティ投票型の知見集約を呼びかけ

概要

本記事の元ソースは、PortSwigger Researchによる告知「Top 10 web hacking techniques of 2024: nominations open」です。ここでは、2024年の「Top 10 Web Hacking Techniques（トップ10・ウェブハッキング手法）」に向けて、ノミネーション（推薦）の受付が開始されたことが案内されています。元記事の冒頭では、世界中のセキュリティ研究者がブログ記事、プレゼンテーション、PoC（概念実証）などを通じて最新の発見を共有している点に触れつつ、その年に登場した“新しいウェブハッキング手法”の候補を広く募る趣旨が示されています。

この企画は、PortSwiggerが年次で行っているコミュニティ主導の取り組みとして位置づけられており、2024年版のまとめページでは「18回目の年次・コミュニティパワードの取り組み」として紹介されています。つまり、単発のランキングというより、年ごとに散在する研究成果を“後から参照できる形”に編集・集約するための枠組みとして機能していると言えます。

詳細

「Top 10 Web Hacking Techniques」は、候補となる手法や研究成果をコミュニティから募り、最終的に“その年を象徴する10本”として整理する形式が特徴です。元ソースの告知が強調しているのは、投稿形態が特定の媒体に限定されない点です。研究はブログ記事に限らず、カンファレンスやミートアップのスライド、PoC、その他の技術資料など、さまざまな形で公開されます。推薦募集を前提にすることで、情報の見落としを減らし、多様な地域・言語圏の成果が候補に入りやすくなります。

また、この種の年次企画は、攻撃者目線の“新規テクニック”を紹介するだけでなく、防御側の学習・優先度付けにも影響します。年内に話題化した研究は、SNSや個別記事としては読まれても、時間が経つと検索性が落ちたり、体系的に比較しづらくなりがちです。トップ10の形にまとまることで、（1）どんな前提条件で成立するのか、（2）どのレイヤー（ブラウザ、アプリ実装、認可設計、セキュリティ境界など）に効いてくるのか、（3）既存の脆弱性クラスをどう“アップデート”したのか、といった観点で俯瞰しやすくなります。

PortSwigger Research内には、2024年版のまとめページだけでなく、シリーズ全体の入り口となるページも用意されています。これにより、単年だけを追うのではなく、過去のトップ10と照らして“何が新しかったのか／何が繰り返し問題化しているのか”を比較しやすくなります。さらに同サイト上には2025年版のページも存在するため、企画が継続的に運用されていることが分かります（年次で更新される形式であることを示す材料になります）。

推薦を考える研究者や実務者にとって重要なのは、「インパクトが大きい＝派手」だけではなく、“ウェブの現場で再現されやすい新規性”や“考え方・手順として再利用できる一般性”を持つ成果が、後に広く参照される可能性が高い点です。元ソースが例示しているように、PoCや発表資料は、読者が検証や理解を進める足場になります。一方で、組織側・運用側の読者は、トップ10を入口にして、自社の診断観点や監視設計、開発時のレビュー観点を見直すきっかけにできます。

なお、補足として、LinkedIn上でも本告知に触れた投稿が確認できます。ただし、具体的な募集要項や手続きの詳細は、一次情報であるPortSwigger Research側の告知および関連ページを参照するのが確実です。