現代の賞金稼ぎ「バグハンター」の知られざる実像 相手はプロ、企業にも正しい付き合い方が必要
東洋経済オンライン / 2024年9月18日 9時0分
バグにしろ脆弱性にしろ、製品やサービスに存在しないのが理想だが、現実にそれは不可能だ。したがって、使いながらソフトウェアやシステムの脆弱性をつぶしていく。
脆弱性の発見についてはこちらの記事にあるように、製品ベンダーやサービス提供者、研究者やホワイトハッカーによってしかるべき窓口(IPAまたはJPCERT/CC)に報告される。その後、製品ベンダーらと内容を精査し、対応策(セキュリティアップデートやパッチ)とともに一般に公表され、ユーザーは対応策を実施することでセキュリティを確保する。
こうした脆弱性ハンドリングという仕組みの中で、最初に脆弱性を発見する研究者やホワイトハッカーの中にバグハンターも含まれるというわけだ。
世界的なビッグテック企業やFortune500に載るような大企業は、その意思がなくとも外部から脆弱性の指摘や報告情報が寄せられる。必然的にバグハンターの対応部署・担当者を組織として持つことになるが、そうでなくても窓口を設けて脆弱性の早期発見・対応につなげているところもある。
企業が積極的にバグハンターを活用するのには合理的な理由があるからだ。
一般的なソフトウェアのバグならば、使っている利用者からの報告、システムのエラーログなどから把握することができる。しかし、仕様にない不具合や未知の脆弱性となると、開発元でも発見は簡単ではない。チェックの目は多いほうがよい。
企業にとっては、自社で脆弱性の検証を行う人材やシステムなどの開発コスト・メンテナンスコストを考えたら、市井の専門家の手を借りたほうが効率がよく、報奨金のほうが安くあがるかもしれない。
報奨金は、報告される脆弱性の重要度によって変わる。経営やユーザーに与えるインパクトが大きいほど、高い報奨金が設定される。金額はまちまちだが、1件あたり数百ドルから1万ドルが相場だ。
脆弱性ハンドリングの枠組みでは、NVDという世界共通の脆弱性データベースの管理番号ごとに、脆弱性が利用された場合のインパクトをCVSSというスコアで表している。スコアは0~10の間で評価され10が最大インパクトとなる。9~10の脆弱性では、平均して7000ドル以上の報奨金が設定されている。ブロックチェーン業界に絞ると、CVSSスコア9以上の脆弱性の平均報奨金は1万3000ドル以上という調査もある(Standoff365「Bug bounty platforms: global market study」)。
この記事に関連するニュース
-
GMOイエラエ 経産省主催の自動車サイバーセキュリティコンテスト「Automotive CTF Japan」で全国1位に
PR TIMES / 2024年9月18日 12時15分
-
GMOサイバーセキュリティ byイエラエのホワイトハッカーが防衛省・自衛隊に対し実践的なサイバーセキュリティトレーニングを実施
PR TIMES / 2024年9月11日 14時45分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるコインチェックが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月29日 11時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるシンクロ・フードが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月28日 16時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業である日本経済新聞社が提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月27日 10時45分
ランキング
-
1レバノンで爆発の機器、台湾企業「権利持つブタペスト会社が製造」
ロイター / 2024年9月18日 17時19分
-
2エールフランス、ベイルート・テルアビブ便の運航停止 中東緊迫で
ロイター / 2024年9月18日 9時48分
-
3PayPay vs 楽天の経済圏、ポイント還元勝負は終焉?【東京ビジネスハブ】
TBS NEWS DIG Powered by JNN / 2024年9月18日 11時0分
-
4「イマーシブ・フォート東京」にゾンビ大量発生 ハロウィーンイベントを体験した
J-CASTトレンド / 2024年9月18日 12時0分
-
5三菱UFJ銀行と証券2社に過怠金5億円、顧客情報を無断共有…日本証券業協会
読売新聞 / 2024年9月18日 14時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください