現代の賞金稼ぎ「バグハンター」の知られざる実像 相手はプロ、企業にも正しい付き合い方が必要
東洋経済オンライン / 2024年9月18日 9時0分
しかし、世界中のIT企業のエンジニア、セキュリティアナリスト、大学の研究者などが、バグバウンティプログラムにバグハンターとして参加している。バグバウンティプログラムのためのポータルサイト、ハンターのための情報サイトなども存在する。
ハンター側の属性や動機もさまざまだ。研究調査の中で偶然発見した脆弱性で企業の門をたたくエンジニアもいれば、本業の傍らバグバウンティプログラムの参加を自己研鑽や半ば趣味としているものもいる。セキュリティ業界で名を上げたい若手もいる。目的は多種多様となる。
高額賞金をねらうなら仮想通貨や金融機関のシステムやサービスの脆弱性を探すだろう。Webサービスは脆弱性を見つけやすい対象の筆頭だ。高度な技術を試したい、知的好奇心を満たしたい、といった研究者には、AI関連の脆弱性ハンティングが人気だ(賞金も高い傾向)。
いずれにせよ、バグハンターたちは、高度なスキルを持つプロフェッショナルだ。企業は、言葉からくるアウトロー的なイメージで彼らを色眼鏡で見ないこと。
IoT機器やネット家電などで、あらゆるものがサイバー空間につながっていて、すべてがサイバー攻撃の対象になっている。セキュリティ対策は、とうの昔にPCやスマートフォンに行えば済むものではなくなっている。正しい脆弱性ハンドリングを行うためにも、バグハンターとの共存・活用を考えるべきだ。
とくに指摘しておきたいのは自動車業界。電動化やSDV(Software Defined Vehicle)という変革期を迎える業界において、ソフトウェアやサービスの品質向上は必須である。自動車のリコールもOTA(Over The Air:無線通信を介したアップデート)で対応するようになるだろう。機能安全という視点で、製品出荷後のセキュリティ確保も急務とされている。
実際、テスラもトヨタ(北米)もバグハンターの窓口を設け、バグバウンティコンテストにも積極的にスポンサードしている。自動車業界も正しく向き合う必要がある。
中尾 真二:ITジャーナリスト・ライター
外部リンク
この記事に関連するニュース
-
GMOイエラエ 経産省主催の自動車サイバーセキュリティコンテスト「Automotive CTF Japan」で全国1位に
PR TIMES / 2024年9月18日 12時15分
-
GMOサイバーセキュリティ byイエラエのホワイトハッカーが防衛省・自衛隊に対し実践的なサイバーセキュリティトレーニングを実施
PR TIMES / 2024年9月11日 14時45分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるコインチェックが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月29日 11時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業であるシンクロ・フードが提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月28日 16時15分
-
IssueHunt株式会社主催、学生向けバグバウンティイベント「P3NFEST Bug Bounty 」、参加企業である日本経済新聞社が提供するバグバウンティプログラムが決定
PR TIMES / 2024年8月27日 10時45分
ランキング
-
1レバノンで爆発の機器、台湾企業「権利持つブタペスト会社が製造」
ロイター / 2024年9月18日 17時19分
-
2エールフランス、ベイルート・テルアビブ便の運航停止 中東緊迫で
ロイター / 2024年9月18日 9時48分
-
3PayPay vs 楽天の経済圏、ポイント還元勝負は終焉?【東京ビジネスハブ】
TBS NEWS DIG Powered by JNN / 2024年9月18日 11時0分
-
4「イマーシブ・フォート東京」にゾンビ大量発生 ハロウィーンイベントを体験した
J-CASTトレンド / 2024年9月18日 12時0分
-
5三菱UFJ銀行と証券2社に過怠金5億円、顧客情報を無断共有…日本証券業協会
読売新聞 / 2024年9月18日 14時5分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください