現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

しかし、世界中のIT企業のエンジニア、セキュリティアナリスト、大学の研究者などが、バグバウンティプログラムにバグハンターとして参加している。バグバウンティプログラムのためのポータルサイト、ハンターのための情報サイトなども存在する。

ハンター側の属性や動機もさまざまだ。研究調査の中で偶然発見した脆弱性で企業の門をたたくエンジニアもいれば、本業の傍らバグバウンティプログラムの参加を自己研鑽や半ば趣味としているものもいる。セキュリティ業界で名を上げたい若手もいる。目的は多種多様となる。

高額賞金をねらうなら仮想通貨や金融機関のシステムやサービスの脆弱性を探すだろう。Webサービスは脆弱性を見つけやすい対象の筆頭だ。高度な技術を試したい、知的好奇心を満たしたい、といった研究者には、AI関連の脆弱性ハンティングが人気だ（賞金も高い傾向）。

いずれにせよ、バグハンターたちは、高度なスキルを持つプロフェッショナルだ。企業は、言葉からくるアウトロー的なイメージで彼らを色眼鏡で見ないこと。

IoT機器やネット家電などで、あらゆるものがサイバー空間につながっていて、すべてがサイバー攻撃の対象になっている。セキュリティ対策は、とうの昔にPCやスマートフォンに行えば済むものではなくなっている。正しい脆弱性ハンドリングを行うためにも、バグハンターとの共存・活用を考えるべきだ。

とくに指摘しておきたいのは自動車業界。電動化やSDV（Software Defined Vehicle）という変革期を迎える業界において、ソフトウェアやサービスの品質向上は必須である。自動車のリコールもOTA（Over The Air：無線通信を介したアップデート）で対応するようになるだろう。機能安全という視点で、製品出荷後のセキュリティ確保も急務とされている。

実際、テスラもトヨタ（北米）もバグハンターの窓口を設け、バグバウンティコンテストにも積極的にスポンサードしている。自動車業界も正しく向き合う必要がある。

中尾 真二：ITジャーナリスト・ライター