現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

バグにしろ脆弱性にしろ、製品やサービスに存在しないのが理想だが、現実にそれは不可能だ。したがって、使いながらソフトウェアやシステムの脆弱性をつぶしていく。

脆弱性の発見についてはこちらの記事にあるように、製品ベンダーやサービス提供者、研究者やホワイトハッカーによってしかるべき窓口（IPAまたはJPCERT/CC）に報告される。その後、製品ベンダーらと内容を精査し、対応策（セキュリティアップデートやパッチ）とともに一般に公表され、ユーザーは対応策を実施することでセキュリティを確保する。

こうした脆弱性ハンドリングという仕組みの中で、最初に脆弱性を発見する研究者やホワイトハッカーの中にバグハンターも含まれるというわけだ。

世界的なビッグテック企業やFortune500に載るような大企業は、その意思がなくとも外部から脆弱性の指摘や報告情報が寄せられる。必然的にバグハンターの対応部署・担当者を組織として持つことになるが、そうでなくても窓口を設けて脆弱性の早期発見・対応につなげているところもある。

企業が積極的にバグハンターを活用するのには合理的な理由があるからだ。

一般的なソフトウェアのバグならば、使っている利用者からの報告、システムのエラーログなどから把握することができる。しかし、仕様にない不具合や未知の脆弱性となると、開発元でも発見は簡単ではない。チェックの目は多いほうがよい。

企業にとっては、自社で脆弱性の検証を行う人材やシステムなどの開発コスト・メンテナンスコストを考えたら、市井の専門家の手を借りたほうが効率がよく、報奨金のほうが安くあがるかもしれない。

報奨金は、報告される脆弱性の重要度によって変わる。経営やユーザーに与えるインパクトが大きいほど、高い報奨金が設定される。金額はまちまちだが、1件あたり数百ドルから1万ドルが相場だ。

脆弱性ハンドリングの枠組みでは、NVDという世界共通の脆弱性データベースの管理番号ごとに、脆弱性が利用された場合のインパクトをCVSSというスコアで表している。スコアは0～10の間で評価され10が最大インパクトとなる。9～10の脆弱性では、平均して7000ドル以上の報奨金が設定されている。ブロックチェーン業界に絞ると、CVSSスコア9以上の脆弱性の平均報奨金は1万3000ドル以上という調査もある（Standoff365「Bug bounty platforms: global market study」）。