脆弱性探しはハッカーが頼り バグ報奨金制度、新型コロナ対応が普及後押し：この頃、セキュリティ界隈で（2/2 ページ）

[鈴木聖子，ITmedia]

　新型コロナウイルスの影響は、バグバウンティー制度に詳しい別の専門家も指摘している。

　2012年からこうした制度を推進してきたBugcrowd創業者のケイシー・エリス氏は、threatpostのインタビューの中で、 「外の世界のセキュリティ専門家の助けを借りることに対して、企業の抵抗感が少なくなった」と語る。

threatpost

　同氏によると、新型コロナ対策としてテレワークを余儀なくされたことで、組織内に物理的に存在していない人物に協力してもらうやり方が、企業にとって受け入れやすくなった。外出や通勤時間が減って自由に使える時間が増えた若者などが、賞金稼ぎに時間をかける傾向も見られるという。

　Zoomのようなデジタルプラットフォームに対してはセキュリティ強化圧力が強まり　相次ぐ問題が発覚したZoomは、4月にバウンティープログラムの強化を発表した。中国ByteDance傘下のTikTokは米政府との対立が深まる中で、10月にHackerOneと組んでバウンティープログラムを立ち上げた。

　ただし制度を導入しても利用してもらえなければ意味はない。脆弱性情報を闇サイトで売った方が稼げるのであれば、そちらに流れるハッカーもいるかもしれない。そこで早くからバウンティープログラムを導入しているGoogleなどは、インセンティブを高める狙いで賞金の額をどんどん引き上げている。Facebookは常連ハッカーをランク付けして貢献度に応じてボーナスを上乗せする制度「Hacker Plus」を導入した。

　消極的だったAppleも、2019年からバウンティープログラムを拡充してiOSやmacOSの脆弱性にも賞金を支払うようになり、賞金の金額も増額した。今年10月には、研究者グループが3カ月で55件の脆弱性を発見し、総額28万8500ドルの賞金を獲得したと発表して話題になった。

　ハッカーの力を借りているのはIT企業だけにとどまらない。トヨタ自動車は今年3月、中国Tencent Keen Security Labの報告を受けてレクサス車の脆弱性を修正したと発表した。HackerOneのプラットフォームを利用している顧客は米国防総省やStarbucks、任天堂、Uberなど多岐にわたる。

　HackerOneのレポートによると、バグバウンティープログラムを通じてハッカーが受け取った賞金は世界全体で前年より87％増えた。特にアジア太平洋地域は前年比で131％の大幅増だった。Tencentなどの中国勢は、GoogleやAppleといった大手の製品の脆弱性を次々に発見している常連で、この世界での存在感を増している。