脆弱性探しはハッカーが頼り バグ報奨金制度、新型コロナ対応が普及後押し：この頃、セキュリティ界隈で（1/2 ページ）

[鈴木聖子，ITmedia]

　自社のソフトウェアやシステムの脆弱性を発見する手段として、社外の善玉ハッカーに頼ろうとする企業が増えている。脆弱性を見つけて報告してくれた研究者などに賞金を贈呈する「バグバウンティープログラム」の制度を導入する企業が相次ぎ、Googleなど早くからこうした制度を活用していた企業は賞金額の引き上げに動く。背景には新型コロナウイルス感染拡大の影響もあるようだ。

　各国の企業と組んでこうした制度を支援してきたHackerOneがこのほどまとめた統計によると、2020年4月までの1年間でバグバウンティープログラムを通じて発見された脆弱性は20万件を超え、ハッカーに支払われた賞金の総額は、上位10種類の脆弱性の合計で2350万ドル（約24億円）に上った。

HackerOne

　脆弱性の種類別に見ると、支払われた賞金の総額が最も多かったのは、前年に続いてクロスサイトスクリプティング（XSS）の脆弱性だった。

　XSSはWebアプリケーションを脅かす脆弱性で、悪用されればユーザーのアカウントを制御され、パスワードや銀行口座番号、クレジットカード番号などの情報が盗まれることもある。この脆弱性に対して支払われた賞金の総額は420万ドルと、前年比で26％増えた。

　深刻度で分類すると、XSSは一般的に、高〜中程度に分類される脆弱性。1件当たりの賞金は平均で501ドルと、最高レベルの脆弱性の3650ドルに比べてかなり安い。「つまり組織は、このよくありがちな、痛みを伴うバグを安上がりに緩和できている」（HackerOne）

　こうした脆弱性の発見を外部のハッカーに頼るやり方が改めて注目されるようになったのは、新型コロナウイルスの影響でデジタルトランスフォーメーションが加速したことも一因だとHackerOneは解説する。

　「自分たちのリソースを補うための手早くコスト効率が高い解決策として、ハッカーの力を借りるセキュリティ対策への関心が高まり、予算が縮小する中で結果に対して対価を支払うアプローチが正当化しやすくなった」