現代の賞金稼ぎ「バグハンター」の知られざる実像 相手はプロ、企業にも正しい付き合い方が必要
東洋経済オンライン / 2024年9月18日 9時0分
バグハンター、またはバグバウンティハンターという職業が存在する。バウンティハンターとは時代劇や西部劇にでてくる賞金稼ぎのことだ。
【図で見る】脆弱性が発見されてから情報公開、パッチが配布されるまでの流れ
そのままの意味なら、ソフトウェアのバグや脆弱性(セキュリティ上の不具合)を発見し、それを企業などに売ることを生業とする人ということになる。
こう書くと、映画の賞金稼ぎのようにアウトローやダークサイドのイメージだが、そういうわけでもない。
バグや脆弱性とともに解決策・対応策も報告する
バグハンターは、企業に製品やサービスの脆弱性や不備を報告し、その内容の重要度に応じて報奨金を得ている。この仕組みを規定する法的な根拠は存在しないが、禁止されているわけでもない。したがって違法ではない。それどころか、ソフトウェアやシステムの安全性・信頼性を維持するためには必要な安全対策の手法として確立されているといってよい。
では、バグハンターとはどういう人たちでどんなことをしているのか。また、企業はなぜバグ発見に賞金をかけるのか?
バグと脆弱性の区別はあまり明確ではないが、一般にバグは仕様書や設計書を満たしていない機能や動作のことをいう。これに対して、仕様書に記載がない機能や動作、設計時に想定していない操作による反応、機能に内包する問題点を脆弱性と呼んでいる。
つまり脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の瑕疵、不具合のことで、多くはプログラムのバグに起因する。例えば、プログラムのミスで、特定の条件を満たすと他人のファイルが見えてしまったり、中にはシステムの機能上、排除できない脆弱性も存在する。
バグハンターは、どちらもハンティングの対象とするが、一般ユーザーによる不具合の報告との違いは、バグや脆弱性の原因を分析し、通常は解決策・対応策をあわせて報告する点にある。単に問題点を指摘するだけでなく、解決策もあるので一緒に対応しよう、つまり「買ってくれ」という提案をするのがバグハンターだ。
自身の調査・研究で発見した脆弱性を攻撃に悪用するのではなく、企業に対策や改善を促す。そのためバグハンターは、しばしばエシカルハッカー(Ethical Hacker:倫理的ハッカー)と呼ばれることもある。
バグハンターと企業をつなぐ「脆弱性ハンドリング」
もちろん、ソフトウェア製品の脆弱性対策については、国際的な枠組みが存在する。「脆弱性ハンドリング」と呼ばれる標準的なプロセスが、各国のセキュリティ関連機関と民間企業の間で運用されているのだ。
この記事に関連するニュース
-
GMOイエラエ 経産省主催の自動車サイバーセキュリティコンテスト「Automotive CTF Japan」で全国1位に
PR TIMES / 2024年9月18日 12時15分
-
GMOサイバーセキュリティ byイエラエのホワイトハッカーが防衛省・自衛隊に対し実践的なサイバーセキュリティトレーニングを実施
PR TIMES / 2024年9月11日 14時45分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるコインチェックが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月29日 11時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるシンクロ・フードが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月28日 16時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業である日本経済新聞社が提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月27日 10時45分
ランキング
-
1レバノンで爆発の機器、台湾企業「権利持つブタペスト会社が製造」
ロイター / 2024年9月18日 17時19分
-
2エールフランス、ベイルート・テルアビブ便の運航停止 中東緊迫で
ロイター / 2024年9月18日 9時48分
-
3東京メトロ、基準値超え車軸225本 国交省が安全管理体制確認へ
ロイター / 2024年9月18日 15時45分
-
4今「仕事を掛け持ちしない」のはリスクでしかない 安定した収入があれば新しいことを始められる
東洋経済オンライン / 2024年9月18日 17時0分
-
5社員ファースト?「部下が上司選択」アリかナシか 改めて考えたい「上司とは何か・部下とは何か」
東洋経済オンライン / 2024年9月18日 8時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください