企業に製品やサービスの脆弱性や不備を報告、現代の賞金稼ぎ「バグハンター」の知られざる実像
企業側に高度なスキルや専門性、潤沢な賞金予算がない場合、コンテスト形式のバグバウンティプログラムを利用する方法がある。 例えば、テスラは独自のバグバウンティプログラムを持っているが、パブリックなバグ発見コンテストを主催・後援することがある。2024年1月には、日本で開催された「Pwn2Own Automotive」というハッキングコンテストにテスラが車両ソフトやアプリの脆弱性発見に最高で10万ドルの賞金を拠出して話題となった。
日本では、もう少しコンテスト色を押し出したイベントが一般的だ。発見者への報奨金は数万円から100万円くらいに抑えられるが、トロフィーや認定証だけのものもある。経済産業省や大企業など権威筋が主催するコンテストは、参加や受賞そのものが実績・名誉となる。若手や駆け出しのバグハンターにとって名を上げるのに打ってつけだ。 参加に身元確認などが伴うクローズドなコンテストは、たとえ賞品がロゴ入りのTシャツであっても、世界中のハッカーが名を売るために参加する。このような実績は企業との交渉でも役立つ。
■プロのバグハンターは全世界で2000人前後? 全世界でフルタイムのバグハンター、つまり報奨金で生計を立てているプロのバグハンターは、おそらく2000人くらいだろうといわれていて、非常に稀有な存在といえる。 しかし、世界中のIT企業のエンジニア、セキュリティアナリスト、大学の研究者などが、バグバウンティプログラムにバグハンターとして参加している。バグバウンティプログラムのためのポータルサイト、ハンターのための情報サイトなども存在する。
ハンター側の属性や動機もさまざまだ。研究調査の中で偶然発見した脆弱性で企業の門をたたくエンジニアもいれば、本業の傍らバグバウンティプログラムの参加を自己研鑽や半ば趣味としているものもいる。セキュリティ業界で名を上げたい若手もいる。目的は多種多様となる。 高額賞金をねらうなら仮想通貨や金融機関のシステムやサービスの脆弱性を探すだろう。Webサービスは脆弱性を見つけやすい対象の筆頭だ。高度な技術を試したい、知的好奇心を満たしたい、といった研究者には、AI関連の脆弱性ハンティングが人気だ(賞金も高い傾向)。