報奨金は、報告される脆弱性の重要度によって変わる。経営やユーザーに与えるインパクトが大きいほど、高い報奨金が設定される。金額はまちまちだが、1件あたり数百ドルから1万ドルが相場だ。 　脆弱性ハンドリングの枠組みでは、NVDという世界共通の脆弱性データベースの管理番号ごとに、脆弱性が利用された場合のインパクトをCVSSというスコアで表している。スコアは0～10の間で評価され10が最大インパクトとなる。9～10の脆弱性では、平均して7000ドル以上の報奨金が設定されている。ブロックチェーン業界に絞ると、CVSSスコア9以上の脆弱性の平均報奨金は1万3000ドル以上という調査もある(Standoff365「Bug bounty platforms: global market study」)。

■バグハンターには企業側も専門の交渉人を配すべき 　賞金が懸かることで、それ目当ての有象無象が集まるリスクも高まる。だから、企業がバグバウンティプログラム(報奨金制度)として実施する場合は、寄せられる情報に対する目利き、情報のスクリーニングはとても重要だ。 　相手は、未知の脆弱性を自力で発見できる腕利きのハッカーだ。企業側が対応を誤るとダメージを受けることがある。相手に悪意がなくても、「知らない相手の通報は取り合わない」「情報だけ聞き出しておわりにしよう」などと安易に考えると、逆に脆弱性情報を勝手に公開されてしまうことがある。

　善意の通報を足蹴にされたり、利用されそうになれば、怒ったハッカーがリークサイトやメディア、ソーシャルネットワークに情報を公開する。脆弱性が対応されないまま製品やサービスが利用され、消費者がサイバー攻撃に遭うくらいなら、情報を公開して使用をやめさせよう。企業に態度を改めさせようというわけだ。 　このようにバグバウンティプログラムは、専門の交渉人を配し、賞金支払いに対する権限とともに正しく脆弱性ハンドリングに組み込まれる必要がある。バグや脆弱性の修正コストが下がるからと安易に実施すべきものではない。