現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

バグハンターには企業側も専門の交渉人を配すべき

賞金が懸かることで、それ目当ての有象無象が集まるリスクも高まる。だから、企業がバグバウンティプログラム（報奨金制度）として実施する場合は、寄せられる情報に対する目利き、情報のスクリーニングはとても重要だ。

相手は、未知の脆弱性を自力で発見できる腕利きのハッカーだ。企業側が対応を誤るとダメージを受けることがある。相手に悪意がなくても、「知らない相手の通報は取り合わない」「情報だけ聞き出しておわりにしよう」などと安易に考えると、逆に脆弱性情報を勝手に公開されてしまうことがある。

善意の通報を足蹴にされたり、利用されそうになれば、怒ったハッカーがリークサイトやメディア、ソーシャルネットワークに情報を公開する。脆弱性が対応されないまま製品やサービスが利用され、消費者がサイバー攻撃に遭うくらいなら、情報を公開して使用をやめさせよう。企業に態度を改めさせようというわけだ。

このようにバグバウンティプログラムは、専門の交渉人を配し、賞金支払いに対する権限とともに正しく脆弱性ハンドリングに組み込まれる必要がある。バグや脆弱性の修正コストが下がるからと安易に実施すべきものではない。

企業側に高度なスキルや専門性、潤沢な賞金予算がない場合、コンテスト形式のバグバウンティプログラムを利用する方法がある。

例えば、テスラは独自のバグバウンティプログラムを持っているが、パブリックなバグ発見コンテストを主催・後援することがある。2024年1月には、日本で開催された「Pwn2Own Automotive」というハッキングコンテストにテスラが車両ソフトやアプリの脆弱性発見に最高で10万ドルの賞金を拠出して話題となった。

日本では、もう少しコンテスト色を押し出したイベントが一般的だ。発見者への報奨金は数万円から100万円くらいに抑えられるが、トロフィーや認定証だけのものもある。経済産業省や大企業など権威筋が主催するコンテストは、参加や受賞そのものが実績・名誉となる。若手や駆け出しのバグハンターにとって名を上げるのに打ってつけだ。

参加に身元確認などが伴うクローズドなコンテストは、たとえ賞品がロゴ入りのTシャツであっても、世界中のハッカーが名を売るために参加する。このような実績は企業との交渉でも役立つ。

プロのバグハンターは全世界で2000人前後？

全世界でフルタイムのバグハンター、つまり報奨金で生計を立てているプロのバグハンターは、おそらく2000人くらいだろうといわれていて、非常に稀有な存在といえる。