連載
» 2014年08月29日 18時00分 公開

「職業:バグハンター」にオレはなる? DEF CON 22レポートその覚悟はあるか(2/3 ページ)

[谷崎朋子,@IT]

こんなにある米国のバウンティプログラム

 バウンティプログラムといえば、日本では2013年にサイボウズが実施した、同社クラウドサービスに対する脆弱性発見コンテスト「cybozu.com Security Challenge」が記憶に新しい。

関連リンク

サイボウズ流・脆弱性情報との付き合い方

http://www.atmarkit.co.jp/ait/articles/1402/28/news086.html


 米国では、「実際の攻撃シナリオを検証でき、セキュリティへの取り組みの姿勢をアピールできる」とし、導入する企業が増えていると、バウンティプログラムサービスの運営経験があるセキュリティアーキテクトのニル・ヴァルトマン氏は述べる。

講演「Bug Bounty Programs Evolution」(バグバウンティプログラムの進化)で登壇した、セキュリティアーキテクトのニル・ヴァルトマン氏

 では、米国にはどのようなプログラムがあるのだろうか。バウンティプログラムは、ざっくり分けると2種類ある。1つは、企業が主催するプログラム。もう1つは、それ以外が開催するプログラムだ。

左が「企業主催」のプログラム、右が「その他」開催のプログラム

 細かく見ると、次のように分けられる。

  • 企業主催
  • その他
    • 第三者機関
    • クラウドサービス
    • ブローカー

 「企業主催」は、FacebookやGoogle、Yahoo!、Microsoftなどが挙げられる。現在、300近くのプログラムが実施され、うち260は何らかの報酬があり、75については報奨金が出ている。

 Googleは、2010年に報奨金プログラムを開始した。2013年8月時点で2000以上の有効な報告を受け、総額200万ドル以上の報奨金を支払っている。

 もちろん、甘い話ばかりではない。Facebookは、2013年に前年比246%増の1万4763件のバグ報告を受け、有効なバグに対する報奨金の最低額は500ドル、最高額は3万3000ドル強だった。しかし、報奨金が出た件数は、687件の4.65%のみ。「なかなか興味深い数字だ」(クーンズ氏)

 「その他」では、第三者機関が主催するプログラムだ。有名どころでは、ZDIが挙げられる。2013年、日本で開催された情報セキュリティカンファレンス「PacSec」で、モバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」が行われたが、これを取り仕切ったのがZDIだ。

関連リンク

スマホを攻撃→賞金ゲット、脆弱性発見コンテスト「Mobile Pwn2Own」日本初開催

http://www.atmarkit.co.jp/ait/articles/1311/14/news053.html


 2005年8月に設立した同研究機関は、バグハンターやリサーチャーから報告を受けた脆弱性を検証、ベンダーに「責任ある公開」をもって公表している。現在は、約100カ国3000人以上が登録しており、2014年7月18日時点で1715件が報告され、3〜6桁の報奨金が支払われている。

 「第三者機関主催のプログラムで報告するときは、どのソフトウェアの脆弱性かを明確にして、バージョン含む詳細をきちんと伝えることが重要だ。そうすれば検証作業もスムーズに進み、報奨金を早く手に入れられる可能性が高い」(エイラム氏)

 もう1つ、クラウド型のバウンティプログラムもある。これは、企業に代わってバウンティプログラムを代行するサービスだ。bugcrowd、HackerOne、CrowdCurity、Synackなど、かなりの数がある。

 2012年9月に設立したbugcrowdは、Webやモバイル、クライアントサイド、組み込み系アプリに関するバウンティプログラムを扱っており、公開プログラムのほかに非公開プログラムも実施している。57の企業が参加、1万人以上が登録し、平均報酬額は241ドル、最高額は1万3500ドルだ。

bugcrowdに登録するバグハンターの在住国

 「クラウド型は、登録者が膨大なので、とにかくスピードが命。詳細レポートを用意している間に、他の人に同じ脆弱性を発見されて報奨金を持っていかれる。次回の開催予告があったら、すぐに検証体制を整えるのがポイント。出遅れたらアウトだ」(エイラム氏)

 そして最後は、ブローカーだ。彼らはバグハンターのために素敵な額の報奨金を出してくれるところを探してくれる。Securiteamでは、過去に100件扱っており、平均報酬額は5000〜10万ドル、最高100万ドルが出ているそうだ。「まゆつばものだが、先方はそう主張している」(クーンズ氏)

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。