バグハンター一問一答!ひとはいかにしてバグハンターになるのか?

EnterpriseZine / 2012年6月26日 12時0分

バグハンターってなにする人ですか?お金はもらえるんですか?―『Bugハンター日記』の刊行を記念して、本書の監訳をつとめた、日本を代表するバグハンターのひとりである新井悠氏にお話をお聞きしました。

 

7/14(土)出版記念イベント
『BugハンターとめんどうくさいWebセキュリティ開催!詳細はこちら
日本を代表するバグハンターの新井悠さんです↓ 早速いろいろ聞いていきます。





 ―バグハンターってなんですか?

 ソフトウェアの欠陥(脆弱性)を見つけることに楽しみや自己実現を見いだす人のことです。ただ近年は、そうした活動に対して報奨金を与える会社が増えています。

 ―ハッカーとは違うのでしょうか?

 同じだと思います。ハッカーと呼ばれる人はたくさんいますが、そのうちの、脆弱性を見つけることに長けた人たちのことをいいます。

 ―バグハンターは、匿名ですか?実名ですか?

 大半は実名ですが、恥ずかしがり屋もいます。

 ―バグハンターが通報してから、脆弱性が修正されるまでのプロセスを簡単に教えてください。

 一般に、通知を受けたソフトウェア会社は、その脆弱性をまず確認して、間違いなくそれが脆弱性であるとバグハンターに伝えます。そして、修正のおよその目安をバグハンターに示しながら、修正作業を行うのが一般的です。

 ソフトウェア会社側で修正作業が終わり、修正プログラムが公開されると、バグハンター側で脆弱性の詳細(アドバイザリと呼ばれます)を公開します。そのように詳細を示すことで、脆弱性について広く注意喚起します。

 ただ、例外的にこのような一般的な手順が行われず、マルウェアなどによる悪用によって初めて脆弱性がわかるケースもあります。それがゼロデイ(0-day)と呼ばれるものです。

 ―バグっていうのは「よし、探すぞ!」と思って探さないと見つからないものなんですか?

 大半はそうです。そして、最初はみんな探し方を知りません。私の場合は、会社に入って最初の上司がバグハンターだったので、そのやり方を盗みながら自分のやり方を見つけていったという、ある意味職人みたいなことをやっていましたね。ただそういう環境は本当に希有なので、『Bugハンター日記』にあるような、やり方を学習するというのは一般に開かれた道なのだと思います。

 バグハンターはボランティア(無償)でバグハントをしているんですか?

EnterpriseZine

トピックスRSS

ランキング