バグバウンティプログラムとは何か?3分で理解する

バグバウンティ セキュリティ

本記事はソフトウェアテスト Advent Calendar 2021 14日目の記事です。

そして、IT/テスト技術・知識を3分で理解するシリーズ、今回はバグバウンティプログラム(bug bounty program)です。

バグバウンティプログラムとは?

一言で言うと、

「ソフトウェア・サービスのセキュリティ脆弱性を見つけて(見つけてもらって)、報告して(報告してもらって)、報奨金を貰う(支払う)仕組み」

です。

日本語で言うと「脆弱性報奨金制度」。

つまり、「公開されているソフトウェア・サービスに対して、ホワイトハッカーやハッカー会社が脆弱性を見つけ、それをソフトウェア・サービスの運営会社へ報告し、報奨金を貰う」って感じのものです。

当然ながら、報奨金の金額・基準は企業によって異なりますが、基本的には深刻なセキュリティ脆弱性を見つける方が報奨金は高くなります。

このバグバウンティプログラムの仕組みを利用している有名なサービスとして、facebookLINEMicrosoftなど、世界中の多くの企業・サービスが利用しています。

バグバウンティを行うには?

では「バグバウンティプログラムに参加しよー!」と思い立って、まず何からやればいいのでしょうか??

(基本的なIT/技術に関する知識があることは前提として)主には以下のような事です。

「バグバウンティプログラムのプラットフォームへ登録する」

脆弱性を見つけて欲しい企業/サービスを一覧で見つけることができ、ホワイトハッカーとして登録する事でバグバウンティプログラムへ参加する事ができます。例えば「BugBounty.jp」や「Hackerone」などがあります。

「セキュリティやハッキングについての知識を学ぶ・アップデートする」

例えば、「Penester Lab」や「Hack The Box」などのサービスでハッキングに関する知識を学べます。

とはいえ、最初の一歩として、上記のようなサイトで知識を学べますが、基本的には高い技術力と豊富な知識が必要です。

「バグバウンティの為のツールを使う」

バグバウンティの歴史はそれなりにあり、先人達が既に便利なツールを作ってくれてたりします。

例えば「Amass」や「Burp」などのツールがあります。

しかし、注意も必要

単に何でもかんでも見つけりゃーいい、というものではなく、各企業ごとに、バグバウンティのルール、報奨金の対象外となる脆弱性などが定められています。ルールをしっかり理解して行うことが大事です。

というわけで、今回はバグバウンティプログラムを3分で理解する説明でしたー。