現代の賞金稼ぎ｢バグハンター｣の知られざる実像 相手はプロ､企業にも正しい付き合い方が必要

例えば、テスラは独自のバグバウンティプログラムを持っているが、パブリックなバグ発見コンテストを主催・後援することがある。2024年1月には、日本で開催された「Pwn2Own Automotive」というハッキングコンテストにテスラが車両ソフトやアプリの脆弱性発見に最高で10万ドルの賞金を拠出して話題となった。

日本では、もう少しコンテスト色を押し出したイベントが一般的だ。発見者への報奨金は数万円から100万円くらいに抑えられるが、トロフィーや認定証だけのものもある。経済産業省や大企業など権威筋が主催するコンテストは、参加や受賞そのものが実績・名誉となる。若手や駆け出しのバグハンターにとって名を上げるのに打ってつけだ。

参加に身元確認などが伴うクローズドなコンテストは、たとえ賞品がロゴ入りのTシャツであっても、世界中のハッカーが名を売るために参加する。このような実績は企業との交渉でも役立つ。

プロのバグハンターは全世界で2000人前後？

全世界でフルタイムのバグハンター、つまり報奨金で生計を立てているプロのバグハンターは、おそらく2000人くらいだろうといわれていて、非常に稀有な存在といえる。

しかし、世界中のIT企業のエンジニア、セキュリティアナリスト、大学の研究者などが、バグバウンティプログラムにバグハンターとして参加している。バグバウンティプログラムのためのポータルサイト、ハンターのための情報サイトなども存在する。

ハンター側の属性や動機もさまざまだ。研究調査の中で偶然発見した脆弱性で企業の門をたたくエンジニアもいれば、本業の傍らバグバウンティプログラムの参加を自己研鑽や半ば趣味としているものもいる。セキュリティ業界で名を上げたい若手もいる。目的は多種多様となる。

高額賞金をねらうなら仮想通貨や金融機関のシステムやサービスの脆弱性を探すだろう。Webサービスは脆弱性を見つけやすい対象の筆頭だ。高度な技術を試したい、知的好奇心を満たしたい、といった研究者には、AI関連の脆弱性ハンティングが人気だ（賞金も高い傾向）。

いずれにせよ、バグハンターたちは、高度なスキルを持つプロフェッショナルだ。企業は、言葉からくるアウトロー的なイメージで彼らを色眼鏡で見ないこと。

IoT機器やネット家電などで、あらゆるものがサイバー空間につながっていて、すべてがサイバー攻撃の対象になっている。セキュリティ対策は、とうの昔にPCやスマートフォンに行えば済むものではなくなっている。正しい脆弱性ハンドリングを行うためにも、バグハンターとの共存・活用を考えるべきだ。

とくに指摘しておきたいのは自動車業界。電動化やSDV（Software Defined Vehicle）という変革期を迎える業界において、ソフトウェアやサービスの品質向上は必須である。自動車のリコールもOTA（Over The Air：無線通信を介したアップデート）で対応するようになるだろう。機能安全という視点で、製品出荷後のセキュリティ確保も急務とされている。

実際、テスラもトヨタ（北米）もバグハンターの窓口を設け、バグバウンティコンテストにも積極的にスポンサードしている。自動車業界も正しく向き合う必要がある。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。