現代の賞金稼ぎ「バグハンター」の知られざる実像
企業に製品やサービスの脆弱性や不備を報告することで報奨金を得るバグハンターを知っていますか?(写真:Anna Tolipova / PIXTA)
バグハンター、またはバグバウンティハンターという職業が存在する。バウンティハンターとは時代劇や西部劇にでてくる賞金稼ぎのことだ。
サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら
そのままの意味なら、ソフトウェアのバグや脆弱性(セキュリティ上の不具合)を発見し、それを企業などに売ることを生業とする人ということになる。
こう書くと、映画の賞金稼ぎのようにアウトローやダークサイドのイメージだが、そういうわけでもない。
バグや脆弱性とともに解決策・対応策も報告する
バグハンターは、企業に製品やサービスの脆弱性や不備を報告し、その内容の重要度に応じて報奨金を得ている。この仕組みを規定する法的な根拠は存在しないが、禁止されているわけでもない。したがって違法ではない。それどころか、ソフトウェアやシステムの安全性・信頼性を維持するためには必要な安全対策の手法として確立されているといってよい。
では、バグハンターとはどういう人たちでどんなことをしているのか。また、企業はなぜバグ発見に賞金をかけるのか?
バグと脆弱性の区別はあまり明確ではないが、一般にバグは仕様書や設計書を満たしていない機能や動作のことをいう。これに対して、仕様書に記載がない機能や動作、設計時に想定していない操作による反応、機能に内包する問題点を脆弱性と呼んでいる。
つまり脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の瑕疵、不具合のことで、多くはプログラムのバグに起因する。例えば、プログラムのミスで、特定の条件を満たすと他人のファイルが見えてしまったり、中にはシステムの機能上、排除できない脆弱性も存在する。
バグハンターは、どちらもハンティングの対象とするが、一般ユーザーによる不具合の報告との違いは、バグや脆弱性の原因を分析し、通常は解決策・対応策をあわせて報告する点にある。単に問題点を指摘するだけでなく、解決策もあるので一緒に対応しよう、つまり「買ってくれ」という提案をするのがバグハンターだ。
自身の調査・研究で発見した脆弱性を攻撃に悪用するのではなく、企業に対策や改善を促す。そのためバグハンターは、しばしばエシカルハッカー(Ethical Hacker:倫理的ハッカー)と呼ばれることもある。
バグハンターと企業をつなぐ「脆弱性ハンドリング」
もちろん、ソフトウェア製品の脆弱性対策については、国際的な枠組みが存在する。「脆弱性ハンドリング」と呼ばれる標準的なプロセスが、各国のセキュリティ関連機関と民間企業の間で運用されているのだ。
バグにしろ脆弱性にしろ、製品やサービスに存在しないのが理想だが、現実にそれは不可能だ。したがって、使いながらソフトウェアやシステムの脆弱性をつぶしていく。
脆弱性の発見についてはこちらの記事にあるように、製品ベンダーやサービス提供者、研究者やホワイトハッカーによってしかるべき窓口(IPAまたはJPCERT/CC)に報告される。その後、製品ベンダーらと内容を精査し、対応策(セキュリティアップデートやパッチ)とともに一般に公表され、ユーザーは対応策を実施することでセキュリティを確保する。
こうした脆弱性ハンドリングという仕組みの中で、最初に脆弱性を発見する研究者やホワイトハッカーの中にバグハンターも含まれるというわけだ。
世界的なビッグテック企業やFortune500に載るような大企業は、その意思がなくとも外部から脆弱性の指摘や報告情報が寄せられる。必然的にバグハンターの対応部署・担当者を組織として持つことになるが、そうでなくても窓口を設けて脆弱性の早期発見・対応につなげているところもある。
企業が積極的にバグハンターを活用するのには合理的な理由があるからだ。
一般的なソフトウェアのバグならば、使っている利用者からの報告、システムのエラーログなどから把握することができる。しかし、仕様にない不具合や未知の脆弱性となると、開発元でも発見は簡単ではない。チェックの目は多いほうがよい。
企業にとっては、自社で脆弱性の検証を行う人材やシステムなどの開発コスト・メンテナンスコストを考えたら、市井の専門家の手を借りたほうが効率がよく、報奨金のほうが安くあがるかもしれない。
報奨金は、報告される脆弱性の重要度によって変わる。経営やユーザーに与えるインパクトが大きいほど、高い報奨金が設定される。金額はまちまちだが、1件あたり数百ドルから1万ドルが相場だ。
脆弱性ハンドリングの枠組みでは、NVDという世界共通の脆弱性データベースの管理番号ごとに、脆弱性が利用された場合のインパクトをCVSSというスコアで表している。スコアは0〜10の間で評価され10が最大インパクトとなる。9〜10の脆弱性では、平均して7000ドル以上の報奨金が設定されている。ブロックチェーン業界に絞ると、CVSSスコア9以上の脆弱性の平均報奨金は1万3000ドル以上という調査もある(Standoff365「Bug bounty platforms: global market study」)。
バグハンターには企業側も専門の交渉人を配すべき
賞金が懸かることで、それ目当ての有象無象が集まるリスクも高まる。だから、企業がバグバウンティプログラム(報奨金制度)として実施する場合は、寄せられる情報に対する目利き、情報のスクリーニングはとても重要だ。
相手は、未知の脆弱性を自力で発見できる腕利きのハッカーだ。企業側が対応を誤るとダメージを受けることがある。相手に悪意がなくても、「知らない相手の通報は取り合わない」「情報だけ聞き出しておわりにしよう」などと安易に考えると、逆に脆弱性情報を勝手に公開されてしまうことがある。
善意の通報を足蹴にされたり、利用されそうになれば、怒ったハッカーがリークサイトやメディア、ソーシャルネットワークに情報を公開する。脆弱性が対応されないまま製品やサービスが利用され、消費者がサイバー攻撃に遭うくらいなら、情報を公開して使用をやめさせよう。企業に態度を改めさせようというわけだ。
このようにバグバウンティプログラムは、専門の交渉人を配し、賞金支払いに対する権限とともに正しく脆弱性ハンドリングに組み込まれる必要がある。バグや脆弱性の修正コストが下がるからと安易に実施すべきものではない。
企業側に高度なスキルや専門性、潤沢な賞金予算がない場合、コンテスト形式のバグバウンティプログラムを利用する方法がある。
例えば、テスラは独自のバグバウンティプログラムを持っているが、パブリックなバグ発見コンテストを主催・後援することがある。2024年1月には、日本で開催された「Pwn2Own Automotive」というハッキングコンテストにテスラが車両ソフトやアプリの脆弱性発見に最高で10万ドルの賞金を拠出して話題となった。
日本では、もう少しコンテスト色を押し出したイベントが一般的だ。発見者への報奨金は数万円から100万円くらいに抑えられるが、トロフィーや認定証だけのものもある。経済産業省や大企業など権威筋が主催するコンテストは、参加や受賞そのものが実績・名誉となる。若手や駆け出しのバグハンターにとって名を上げるのに打ってつけだ。
参加に身元確認などが伴うクローズドなコンテストは、たとえ賞品がロゴ入りのTシャツであっても、世界中のハッカーが名を売るために参加する。このような実績は企業との交渉でも役立つ。
プロのバグハンターは全世界で2000人前後?
全世界でフルタイムのバグハンター、つまり報奨金で生計を立てているプロのバグハンターは、おそらく2000人くらいだろうといわれていて、非常に稀有な存在といえる。
しかし、世界中のIT企業のエンジニア、セキュリティアナリスト、大学の研究者などが、バグバウンティプログラムにバグハンターとして参加している。バグバウンティプログラムのためのポータルサイト、ハンターのための情報サイトなども存在する。
ハンター側の属性や動機もさまざまだ。研究調査の中で偶然発見した脆弱性で企業の門をたたくエンジニアもいれば、本業の傍らバグバウンティプログラムの参加を自己研鑽や半ば趣味としているものもいる。セキュリティ業界で名を上げたい若手もいる。目的は多種多様となる。
高額賞金をねらうなら仮想通貨や金融機関のシステムやサービスの脆弱性を探すだろう。Webサービスは脆弱性を見つけやすい対象の筆頭だ。高度な技術を試したい、知的好奇心を満たしたい、といった研究者には、AI関連の脆弱性ハンティングが人気だ(賞金も高い傾向)。
いずれにせよ、バグハンターたちは、高度なスキルを持つプロフェッショナルだ。企業は、言葉からくるアウトロー的なイメージで彼らを色眼鏡で見ないこと。
IoT機器やネット家電などで、あらゆるものがサイバー空間につながっていて、すべてがサイバー攻撃の対象になっている。セキュリティ対策は、とうの昔にPCやスマートフォンに行えば済むものではなくなっている。正しい脆弱性ハンドリングを行うためにも、バグハンターとの共存・活用を考えるべきだ。
とくに指摘しておきたいのは自動車業界。電動化やSDV(Software Defined Vehicle)という変革期を迎える業界において、ソフトウェアやサービスの品質向上は必須である。自動車のリコールもOTA(Over The Air:無線通信を介したアップデート)で対応するようになるだろう。機能安全という視点で、製品出荷後のセキュリティ確保も急務とされている。
実際、テスラもトヨタ(北米)もバグハンターの窓口を設け、バグバウンティコンテストにも積極的にスポンサードしている。自動車業界も正しく向き合う必要がある。
(中尾 真二 : ITジャーナリスト・ライター)