PortSwiggerが「2025年のTop 10 Web Hacking Techniques」候補募集を告知——投票も開始

概要

本記事は、PortSwigger Research が公開した「Top 10 web hacking techniques of 2025: call for nominations」を元ソースとして、同社サイト上の年次企画ページとコミュニティ投票ページを補助情報に用い、企画の内容を日本語で整理したものです。元ソースの告知では、ノミネーション（候補推薦）はすでに締め切られ、現在はコミュニティ投票が進行している旨が明記されています。

この「Top 10 Web Hacking Techniques」は、1年を通じて共有されたウェブセキュリティ研究（ブログ、プレゼン、ツール公開など）をコミュニティ視点で俯瞰し、特に注目すべき成果を“技術トピック”としてまとめ上げることを狙った企画です。単に脆弱性の話題を並べるのではなく、攻撃手法・検証観点・防御側の学びに直結しやすい形で「今年の重要論点」を抽出する仕組みとして機能します。

詳細

今回の告知ページは、企画の入口として「どの研究を候補に挙げるか」を集め、そこから投票を通じてリストを磨いていく流れを示しています。補助情報として参照できる公式の投票ページは「Top 10 web hacking techniques of 2025」のコミュニティ投票の場であることを明確に掲げており、告知の“投票がライブになった”という更新内容とも整合します。ノミネーションが終わった時点で投票に移っているため、今から参加する読者ができる最短のアクションは、投票ページで候補を確認して投票することになります。

この企画を読む側のメリットは大きく二つあります。第一に、ウェブ領域の研究トピックは情報量が膨大で、個々の脆弱性やバイパスの断片だけを追うと、重要な潮流（例：特定の解析手法の広がり、特定クラスの不備の再発、攻撃連鎖の定番化）を見落としがちです。年次の“Top 10”として整理されることで、学習や社内共有の起点を作りやすくなります。第二に、コミュニティ投票を通じて「現場で刺さった研究」が可視化されるため、単なる話題性だけでなく実務への示唆が強いトピックが上に来やすい点です。

一方で、ランキング形式のまとめは“唯一の正解”ではありません。投票という性質上、知名度や露出の差、投票者の関心領域の偏りが反映される可能性があります。そのため、投票結果を「今年の総決算」として受け止めつつも、自組織の技術スタック（言語、フレームワーク、認証基盤、API形態、WAF/DAST運用など）や脅威モデルに照らし、優先順位を再配置する読み方が現実的です。たとえば、同じ“ウェブ”でもB2Cログイン中心のサービスと、社内向けSaaS連携中心のサービスでは、刺さる論点が変わります。

関連ページとして、PortSwiggerの「Top 10 web hacking techniques of 2025」および、年次まとめ全体のハブに相当する「Top 10 Web Hacking Techniques」ページが用意されています。これらを併読すると、単年（2025）だけでなく、過去の年次企画との連続性や、同社がどのような観点で“Web Hacking Techniques”をまとめてきたかの文脈も掴みやすくなります。さらに、第三者サイト（sit-cybersecurity.com）にも同名記事の転載・要約の形でスケジュールや候補に触れた内容が見られますが、一次情報としてはPortSwigger側の告知・投票・年次ページを優先し、差分確認や補助的な参照に留めるのが安全です。

現時点で重要なのは「投票が進行中である」という状態把握と、投票ページ・年次ページで候補や説明を読み、今年の論点を自分なりに整理することです。セキュリティの学びは“読んで終わり”になりやすいので、投票候補を眺めた後に、①自社に関係する論点を3つ選ぶ、②検査観点（テスト観点）に翻訳する、③開発・運用へ落とし込むタスクに分解する、という順で棚卸しすると、企画の価値を実務に接続しやすくなります。