現代の賞金稼ぎ「バグハンター」の知られざる実像 相手はプロ、企業にも正しい付き合い方が必要
東洋経済オンライン / 2024年9月18日 9時0分
バグハンターには企業側も専門の交渉人を配すべき
賞金が懸かることで、それ目当ての有象無象が集まるリスクも高まる。だから、企業がバグバウンティプログラム(報奨金制度)として実施する場合は、寄せられる情報に対する目利き、情報のスクリーニングはとても重要だ。
相手は、未知の脆弱性を自力で発見できる腕利きのハッカーだ。企業側が対応を誤るとダメージを受けることがある。相手に悪意がなくても、「知らない相手の通報は取り合わない」「情報だけ聞き出しておわりにしよう」などと安易に考えると、逆に脆弱性情報を勝手に公開されてしまうことがある。
善意の通報を足蹴にされたり、利用されそうになれば、怒ったハッカーがリークサイトやメディア、ソーシャルネットワークに情報を公開する。脆弱性が対応されないまま製品やサービスが利用され、消費者がサイバー攻撃に遭うくらいなら、情報を公開して使用をやめさせよう。企業に態度を改めさせようというわけだ。
このようにバグバウンティプログラムは、専門の交渉人を配し、賞金支払いに対する権限とともに正しく脆弱性ハンドリングに組み込まれる必要がある。バグや脆弱性の修正コストが下がるからと安易に実施すべきものではない。
企業側に高度なスキルや専門性、潤沢な賞金予算がない場合、コンテスト形式のバグバウンティプログラムを利用する方法がある。
例えば、テスラは独自のバグバウンティプログラムを持っているが、パブリックなバグ発見コンテストを主催・後援することがある。2024年1月には、日本で開催された「Pwn2Own Automotive」というハッキングコンテストにテスラが車両ソフトやアプリの脆弱性発見に最高で10万ドルの賞金を拠出して話題となった。
日本では、もう少しコンテスト色を押し出したイベントが一般的だ。発見者への報奨金は数万円から100万円くらいに抑えられるが、トロフィーや認定証だけのものもある。経済産業省や大企業など権威筋が主催するコンテストは、参加や受賞そのものが実績・名誉となる。若手や駆け出しのバグハンターにとって名を上げるのに打ってつけだ。
参加に身元確認などが伴うクローズドなコンテストは、たとえ賞品がロゴ入りのTシャツであっても、世界中のハッカーが名を売るために参加する。このような実績は企業との交渉でも役立つ。
プロのバグハンターは全世界で2000人前後?
全世界でフルタイムのバグハンター、つまり報奨金で生計を立てているプロのバグハンターは、おそらく2000人くらいだろうといわれていて、非常に稀有な存在といえる。
この記事に関連するニュース
-
GMOイエラエ 経産省主催の自動車サイバーセキュリティコンテスト「Automotive CTF Japan」で全国1位に
PR TIMES / 2024年9月18日 12時15分
-
GMOサイバーセキュリティ byイエラエのホワイトハッカーが防衛省・自衛隊に対し実践的なサイバーセキュリティトレーニングを実施
PR TIMES / 2024年9月11日 14時45分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるコインチェックが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月29日 11時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるシンクロ・フードが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月28日 16時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業である日本経済新聞社が提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月27日 10時45分
ランキング
-
1レバノンで爆発の機器、台湾企業「権利持つブタペスト会社が製造」
ロイター / 2024年9月18日 17時19分
-
2エールフランス、ベイルート・テルアビブ便の運航停止 中東緊迫で
ロイター / 2024年9月18日 9時48分
-
3PayPay vs 楽天の経済圏、ポイント還元勝負は終焉?【東京ビジネスハブ】
TBS NEWS DIG Powered by JNN / 2024年9月18日 11時0分
-
4「イマーシブ・フォート東京」にゾンビ大量発生 ハロウィーンイベントを体験した
J-CASTトレンド / 2024年9月18日 12時0分
-
5三菱UFJ銀行と証券2社に過怠金5億円、顧客情報を無断共有…日本証券業協会
読売新聞 / 2024年9月18日 14時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください