バグバウンティとは?バグハンターとしての新たな稼ぎ方|サイバーセキュリティ.com

バグバウンティとは?バグハンターとしての新たな稼ぎ方



ソフトウェアやプログラムは人間が作るものであるため、完璧なものは存在しないと言われています。そのためリリースした後にも定期的な更新や修正作業は付き物です。修正の対象となるプログラムの欠陥は一般的に「バグ」と呼ばれています。日本語だと「虫」という意味です。もともと本当の虫が起源だったとも言われています。

そんなバグに対して報奨金をかけて一般人に見つけてもらう制度のことを「バグバウンティ」と言います。今回はバグバウンティの紹介と導入している企業について紹介します。

バグバウンティ(バグ報奨金制度)とは

バグバウンティは「脆弱性報奨金制度」や「バグ報奨金制度」と呼ばれています。公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度になっています。

バグバウンティの始まり

バグバウンティの歴史は、1995年にブラウザを開発していたNetscape社によって始まったと言われています。その時はノベルティグッズが景品として贈られました。当時はバグバウンティ制度を採用する企業は少なく、普及し始めたのは、ここ4,5年ほどからです。

そして現在、バグバウンティは高額な報奨金が支払われるだけでなく、セキュリティエンジニアとしての実績づくりや技術的な好奇心を満たすための制度としても運用されています。

バグバウンティの仕組み

システムやネットワークが複雑になるにつれて、プログラムも高度になり攻撃に使われる手法も多様化します。そのためバグの発見は開発者サイドだけでは不十分であり、一般人による攻撃視点からのチェックが有効です。

バグバウンティは低コストで始めることができ、実際に報奨金が支払われるのは技術的な裏付けがあるケースのみです。そのため開発者にとっては高いコストパフォーマンスでセキュリティ対策を取る事が可能になります。

バグバウンティの報奨金は実施している企業によって基準が様々ですが、共通の指標としてIPAのCVSSv3の基本値を元にして設定されています。脆弱性の深刻度が高いほど報奨金の金額が高くなる仕組みです。

CVSSとは

CVSSとはCommon Vulnerability Scoring Systemの略語で情報システムの脆弱性に対するオープンで汎用的な評価手法の一つです。CSVVではスコアを決められた方法で具体的な数値として計算します。現在、主に使われているのはバージョン3(CVSSv3)です。

CVSSの計算方法は複雑ですが、ブラウザ上で動作する計算機が公開されています。

参照共通脆弱性評価システム (Common Vulnerability Scoring System) Version 3.0 Calculator

企業はなぜバグバウンティを行うのか

日本国内でもバグバウンティを導入する企業が増えつつあります。その背景には、セキュリティ対策に必要な人材やコストが少ない、社内で発見できなかったバグを検知できるなどの理由があげられます。

バグバウンティに参加するホワイトハッカーは、お金目的か、技術力を試したい人のどちらかであるケースが多いです。そして偶然バグを見つけるというケースよりも、バグがあると想定した上でバグを発見しようとします。そのため、比較的短時間でバグの報告が上がってくるため、開発者としても短期間で修正を行うことができます。

またバグバウンティではバグを発見するだけでなく、バグの種類や原因などを分析することで、開発した企業の弱いところや、今後どのように開発すればよいのかなど、課題が明らかになることもあります。思いもよらないところから脆弱性が発見されることもあり、開発者としても参考となる情報につながりやすいと言えます。

バグバウンティを導入している企業

バグバウンティを導入している企業を7社紹介します。

1. Google

サイトGoogle Developers/Chromeのバグをレポートして報奨金を獲得しましょう

GoogleではChromeの脆弱性の発見に報奨金をかけています。1件のバグに対して500ドル~1万5,000ドルの報奨金が支払われます。特に優れた報告においては最高金額以上の報酬が支払われるそうです。

2. Facebook

サイトFacebook バグ報告の報奨金制度に関する規約

FacebookではFacebookと傘下であるinstagramに対してバグ報告の報奨金制度を設けており、2018年9月17日にはバグバウンティの拡大も発表しています。

参照Introducing Rewards for Reports About Access Token Exposure/Facebook

また本社のサービスだけでなく、サードパーティ製のアプリのバグ報告も報奨金の対象としています。アプリと使用しているデバイスとの間に不正なデータ通信が確認できた場合、報奨金の申告を受け付けるそうです。

3. Microsoft

サイトMicrosoft Bug Bounty Program

マイクロソフトでもバグバウンティ制度を導入しています。セキュリティカンファレンス「Black Hat」の場においてバグバウンティの新しい方向性を明らかにしました。バグバウンティの報奨金額を5万ドルから10万ドルに引き上げたというものです。

参照マイクロソフト、バグ発見報奨金プログラムを拡充/Cnet Japan

また、Windows10に関する脆弱性を発見した人に対して報奨金を支払う「Windows Bounty Program」も発表しています。

参照Windows に関する報奨金プログラムの発表/Microsoft

4. LINE

サイトLINE Security Bug Bounty Program

LINEでもアプリの最新版やWebサイトを対象としてバグバウンティ制度を取り入れています。これまでに支払った報奨金額は20万5,500ドルで、報奨金対象の脆弱性件数は116件となっています(※2018年10月現在)

報奨金の対象となる脆弱性はSQLインジェクションからその他の脆弱性まで、18種類です。報奨金は最高10,000ドルから最低500ドルまでです。

5. サイボウズ

サイトサイボウズ脆弱性報奨金制度

サイボウズでは2018年4月9日~2018年12月20日までと期間を区切って報奨金制度を実施しています。サイボウズが提供するサービスに存在するゼロデイ脆弱性の早期発見を目的としており、報奨金は1件あたり1000円から2,000,000円までです。

6. 任天堂

サイトNintendo/Hackerone

任天堂では製品のリリースに合わせて、海外のバグバウンティプラットフォーム「HackerOne」にてバグバウンティプログラムを掲載しています。

報奨金として100ドルから20,000ドルを支払うとしてますが、報奨金の計算方法は開示していません。またこれまでに支払った報奨金の総額も非公開となっています。

7. PayPal

サイトPayPal Bug Bounty Program

オンライン決済代行サービスのPaypalにおいてもバグバウンティプログラムを行っています。報奨金は最低で50ドルで最高で30,000ドルと設定されており、バグのリスクの大きさと影響力によって決定されます。

バグバウンティを行えるサービス

登録することでバグバウンティを行うことができるサービスも登場しています。

1. BugBounty.jp

サイトBugBounty.jp

BugBounty.jpは企業が提供しているサービスやアプリケーション上に脆弱性があるかどうかの調査を、外部のホワイトハッカーに依頼し、問題が見つかった場合は報告をうけ、その対価として報奨金を支払う仕組みを提供しています。

プログラムとしては、世界中のハッカーに向けてプログラムを公開する「パブリックプログラム」と、一部のハッカーに限定してプログラムを公開する「プライベートプログラム」の2つを提供しています。プライベートプログラムを利用することで、すでに実績のあるハッカーや日本人のハッカーに限定して調査を依頼できます。

BugBounty.jpでは基本料金体制として、「報奨金+システム手数料(報奨金の20%)」が必要となります。

また、サービスの利用を開始する前に「プレ診断」のサービスを提供したり、脆弱性のリスクレベルや優先度を判別し選定する「トリアージサポート」などを提供したりしてます。BugBounty.jpではこのように専門スタッフが状況に応じて充実したサービスを提供しています。

2. Kaspersky Bug Bounty Program

サイトKaspersky Lab/Hackerone

セキュリティ対策ソフト「カスペルスキー」を販売しているセキュリティ会社のバグバウンティ制度です。2018年3月6日から、カスペルスキー社の透明性への取組み「Global Transparency Initiative」の一環として、Kaspersky Bug Bounty Programを強化することを発表しました。

参照Kaspersky Lab、脆弱性情報に報奨金を支払う「Kaspersky Bug Bounty Program」の報奨金の上限を10万ドルに増額

これにより重大な脆弱性情報に対する報奨金が最大10万ドルに増額されます。報奨金の対象となるプログラムは以下の2つです。

  • Kaspersky Internet Security 2019 (最新ベータ版)
  • Kaspersky Endpoint Security 11 (最新ベータ版)

カスペルスキーでは、2016年よりバグバウンティを開始しており、すでに70件以上のバグが報告されています。カスペルスキーは今回のプログラム強化にともない、情報セキュリティ業界や他の関係機関とこれまで以上に連携し、セキュリティ課題に迅速に対処することを目的としています。

3. IssueHunt

サイトIssueHunt/BoostIO株式会社

「お客様ニーズファースト」を開発方針に掲げる『IssueHunt』は、お客様からお寄せ頂いたニーズを元に機能開発を進めております。日本製バウンディングプラットフォームのリーディングカンパニーを目指し、日本のビジネス商習慣に合った機能提供や日本語でのサポートはもちろん、バグバウンティ予算を上程するための社内資料の作成まで、BoostIO株式会社チームがユーザーに寄り添ってサポートしております。

初期費用や月額基本料金等もなく、リサーチャーに支払った20%を手数料として頂く料金体系にしており、有効な報告が無ければ利用料金は一切発生致しません。

「情報漏洩対策」「認証部分に特化」「OWASP Top 10を対象」等、企業様のニーズに合わせ、診断対象を設定することが可能です。また、診断に参加するリサーチャーの数に上限はなく、多数のリサーチャーが診断を行うため、網羅的な診断を行うことが可能です。

なお、既に『IssueHunt』にはTikTokやDropbox, アトラシアン等著名企業のプログラムで報奨金を獲得したことがあるリサーチャーを始め数万人が登録しており、彼らに脆弱性診断を依頼できるのはもちろん、採用オファーをお送り頂ける機能までご提供しております。

バグバウンティを行う際の注意点

バグバウンティは未知のバグを発見するという仕事でもあり、あくまでも「善意による報告」という点が重要です。そのため調査や報告をする際には、しっかりとルールを守る必要があります。

脆弱性を悪用するクラッカーの中には「プログラムのバグを見つけた。公開されたくなければ金をよこせ」と脅迫するケースもあります。バグバウンティはこのようなケースを逆手にとり、善意の脆弱性報告をうまく活用することを目標としています。

自分ではバグの発見や調査のための活動と思っていても、実質的にはクラッキング攻撃となってしまうケースもあります。Facebookに脆弱性を報告し報奨金を得たこともある、ウェスリー・ワインバーグ氏のケースもそれに該当します。

ワインバーグ氏はfacebookの脆弱性を報告した功績で、2500ドルの報奨金を受け取りましたが、脆弱性を発見した後も調査を継続していました。そして、instagramのAPIキーを取得することに成功します。しかしこれは行き過ぎた調査ということで、報奨金の支払いは行われませんでした。

参照Bug Bounty Ethics/Facebook

このようにバグバウンティ制度を利用した調査は、一歩間違えるとクラッキング行為と見なされることもあります。バグバウンティ制度を利用する際には、技術的な興味心や報奨金の欲しさを目的に企業秘密にアクセスするような行為を控え、決められたルールを守ることが重要です。

まとめ

バグバウンティ制度は、技術力の高いホワイトハッカーと、ソフトウェアやサービスを提供している開発者の双方のメリットを活かした画期的なシステムと言えます。

開発者は未知のバグの調査を低コストで外部に依頼することができ、ホワイトハッカーは自分の技術力や知識を報酬という対価で得ることができます。日本国内ではまだ一部のIT企業でしか取り入れられていませんが、導入している企業も増えつつあります。

自分の技術力に自信のあるホワイトハッカーのみなさん、ぜひバグバウンティ制度を活用してみてはいかがでしょうか。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。