現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

バグと脆弱性の区別はあまり明確ではないが、一般にバグは仕様書や設計書を満たしていない機能や動作のことをいう。これに対して、仕様書に記載がない機能や動作、設計時に想定していない操作による反応、機能に内包する問題点を脆弱性と呼んでいる。

つまり脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の瑕疵、不具合のことで、多くはプログラムのバグに起因する。例えば、プログラムのミスで、特定の条件を満たすと他人のファイルが見えてしまったり、中にはシステムの機能上、排除できない脆弱性も存在する。

バグハンターは、どちらもハンティングの対象とするが、一般ユーザーによる不具合の報告との違いは、バグや脆弱性の原因を分析し、通常は解決策・対応策をあわせて報告する点にある。単に問題点を指摘するだけでなく、解決策もあるので一緒に対応しよう、つまり「買ってくれ」という提案をするのがバグハンターだ。

自身の調査・研究で発見した脆弱性を攻撃に悪用するのではなく、企業に対策や改善を促す。そのためバグハンターは、しばしばエシカルハッカー（Ethical Hacker：倫理的ハッカー）と呼ばれることもある。

バグハンターと企業をつなぐ「脆弱性ハンドリング」

もちろん、ソフトウェア製品の脆弱性対策については、国際的な枠組みが存在する。「脆弱性ハンドリング」と呼ばれる標準的なプロセスが、各国のセキュリティ関連機関と民間企業の間で運用されているのだ。

バグにしろ脆弱性にしろ、製品やサービスに存在しないのが理想だが、現実にそれは不可能だ。したがって、使いながらソフトウェアやシステムの脆弱性をつぶしていく。

脆弱性の発見についてはこちらの記事にあるように、製品ベンダーやサービス提供者、研究者やホワイトハッカーによってしかるべき窓口（IPAまたはJPCERT/CC）に報告される。その後、製品ベンダーらと内容を精査し、対応策（セキュリティアップデートやパッチ）とともに一般に公表され、ユーザーは対応策を実施することでセキュリティを確保する。

こうした脆弱性ハンドリングという仕組みの中で、最初に脆弱性を発見する研究者やホワイトハッカーの中にバグハンターも含まれるというわけだ。

世界的なビッグテック企業やFortune500に載るような大企業は、その意思がなくとも外部から脆弱性の指摘や報告情報が寄せられる。必然的にバグハンターの対応部署・担当者を組織として持つことになるが、そうでなくても窓口を設けて脆弱性の早期発見・対応につなげているところもある。

企業が積極的にバグハンターを活用するのには合理的な理由があるからだ。