現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

企業に製品やサービスの脆弱性や不備を報告することで報奨金を得るバグハンターを知っていますか？（写真：Anna Tolipova / PIXTA）

バグハンター、またはバグバウンティハンターという職業が存在する。バウンティハンターとは時代劇や西部劇にでてくる賞金稼ぎのことだ。

【図で見る】脆弱性が発見されてから情報公開、パッチが配布されるまでの流れ

そのままの意味なら、ソフトウェアのバグや脆弱性（セキュリティ上の不具合）を発見し、それを企業などに売ることを生業とする人ということになる。

こう書くと、映画の賞金稼ぎのようにアウトローやダークサイドのイメージだが、そういうわけでもない。

バグや脆弱性とともに解決策・対応策も報告する

バグハンターは、企業に製品やサービスの脆弱性や不備を報告し、その内容の重要度に応じて報奨金を得ている。この仕組みを規定する法的な根拠は存在しないが、禁止されているわけでもない。したがって違法ではない。それどころか、ソフトウェアやシステムの安全性・信頼性を維持するためには必要な安全対策の手法として確立されているといってよい。

では、バグハンターとはどういう人たちでどんなことをしているのか。また、企業はなぜバグ発見に賞金をかけるのか？

バグと脆弱性の区別はあまり明確ではないが、一般にバグは仕様書や設計書を満たしていない機能や動作のことをいう。これに対して、仕様書に記載がない機能や動作、設計時に想定していない操作による反応、機能に内包する問題点を脆弱性と呼んでいる。

つまり脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の瑕疵、不具合のことで、多くはプログラムのバグに起因する。例えば、プログラムのミスで、特定の条件を満たすと他人のファイルが見えてしまったり、中にはシステムの機能上、排除できない脆弱性も存在する。

バグハンターは、どちらもハンティングの対象とするが、一般ユーザーによる不具合の報告との違いは、バグや脆弱性の原因を分析し、通常は解決策・対応策をあわせて報告する点にある。単に問題点を指摘するだけでなく、解決策もあるので一緒に対応しよう、つまり「買ってくれ」という提案をするのがバグハンターだ。

自身の調査・研究で発見した脆弱性を攻撃に悪用するのではなく、企業に対策や改善を促す。そのためバグハンターは、しばしばエシカルハッカー（Ethical Hacker：倫理的ハッカー）と呼ばれることもある。

バグハンターと企業をつなぐ「脆弱性ハンドリング」

もちろん、ソフトウェア製品の脆弱性対策については、国際的な枠組みが存在する。「脆弱性ハンドリング」と呼ばれる標準的なプロセスが、各国のセキュリティ関連機関と民間企業の間で運用されているのだ。