海の向こうの“セキュリティ”

いわゆる「ホワイトハッカー」と呼ばれる人たちの実態

3493人への調査の結果、バグ報奨金プラットフォームの米Bugcrowdが公開

 バグ報奨金プラットフォームの米Bugcrowdは、自社のプラットフォームに参加している、いわゆる「ホワイトハッカー」を対象に行なった実態調査の結果を「2020 Inside the Mind of a Hacker Report」として公開しました。

 なお、この報告書では「security researcher」「ethical hacker」「hacker」という用語を、日本で一般的に使われる「ホワイトハッカー」の意味で使っています。また、Bugcrowdも報告書内で明言していますが、あくまでBugcrowdのプラットフォームに参加しているホワイトハッカーを対象とした調査に過ぎないので、必ずしも世界中の全てのホワイトハッカーの傾向を示すものとは限らないことに注意が必要です。

 調査に回答したのは計3493人で、これをBugcrowdは以下の3つに分類しています。

  • 8% Elite - Bugcrowdのプラットフォームにおけるトップ500に入るハッカー
  • 41% Newcomers - Bugcrowdのプラットフォームに登録して12カ月以内のハッカー
  • 51% Regulars - NewcomersでもEliteでもないハッカー
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 まず「ホワイトハッカー」の属性を紹介する前に、Bugcrowdのプラットフォームにおける報奨金の流れを紹介します。以下の図が示すように、報償金を支払っているのは圧倒的に米国の企業や組織が大多数を占めていますが、受け取る側はインドと米国が他を圧倒している状況が分かります。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 次に、回答者が居住している国のトップ10です。居住地は全体で109カ国に渡っているようですが、トップ10内ではアジア太平洋地域の多さが目を引きます。また、先ほど紹介した、報償金の受け取り側でインドと米国がトップ2を占めているのはこの結果を反映しているのでしょう。

  1. インド
  2. 米国
  3. パキスタン
  4. バングラデシュ
  5. インドネシア
  6. 英国
  7. エジプト
  8. オーストラリア
  9. ネパール
  10. ドイツ

 回答者の特徴として以下の3点が挙げられています。

  • 3分の1が複数の国籍を有している。
  • 14%が米国のパスポートを持つ権利を有している。
  • 複数の国籍を持つ者のほとんどが今も生まれた国に住んでいる。

 話せる言語の数は以下の通り。2カ国語以上を話せるのが当たり前のようです。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 生活環境について「都市(Urban)」「郊外(Suburban)」「田舎(Rural)」の3つに分けた結果が以下の図です。この結果についてBugcrowdは、都市やその近郊に限らず、どこでもホワイトハッカーの仕事ができることを示していると述べています。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 また、日光を目にする時間を尋ねた結果が以下の図です。3時間以下と回答した29%は夜行性というハッカーに対するステレオタイプのイメージ通りの人たちということでしょう。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 これらの結果をBugcrowdは「Hackers speak multiple languages and live in sunny urban areas(ハッカーは複数の言語を話し、日の当たる都市部で生活している)」とまとめています。

 ちなみに、ハッカーに対する周りからのイメージを尋ねた結果は以下の通り。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 一方、実際の自分たちのイメージを尋ねた結果は以下の通り。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 報告書ではさらに回答者の詳細についても調べています。

 まず、人種を尋ねた結果は以下の通り。居住地にアジア太平洋地域が多いことを反映した結果になっていると考えられます。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 年齢層は以下の通り。半数以上が24歳以下、つまり1990年代半ば以降に生まれた、いわゆる「Generation Z(Z世代)」の若者との結果になっています。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 なお、性別は男性94%、女性6%で、男性が圧倒的に多い結果になっています。

 本人と親の学歴を尋ねた結果は以下の通り。親子の学歴の相関関係を全く分析していないようですが、Bugcrowdは「Hackers are degree-qualified and come from scholarly families(ハッカーは学位を持ち、学問的な家の出身である)」とまとめています。

本人
大卒49%36%
高卒25%22%
大学院卒19%19%
高校中退7%23%

 家族(世帯)の人数を尋ねた結果は以下の通り。一般的に家族の人数が多いインド(平均4.9人)の回答者が多かったこともあるのでしょうが、それでも米国の平均家族数2.52人(2019年)と比べるとかなり多めな結果になっています。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 ハッカーにとって最も重要な問題は何かとの質問に対する回答を、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。概ね均一にばらけているとも言えますが、どの区分でも「金を稼ぐこと」が最も多いのが目を引きます。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 さらに踏み込んで「neurodiversity(ニューロダイバーシティ)」についても尋ねています。その結果、13%が、統合運動障害、失読症、注意欠陥/多動性障害(AD/HD)、計算力障害、自閉症スペクトラム、トゥレット症候群といった明確な神経発達状態を経験していると回答し、また、その半数近い6%がAD/HDであると回答しています。この結果を多様性の観点も含めてBugcrowdは極めて肯定的に捉えており、さらに「Hackers are empathetic and have extraordinary pattern recognition and memory skills(ハッカーは共感力があり、並外れたパターン認識力と記憶力を持っている)」とまとめています。しかし、このような多様性を肯定的に捉えること自体はもちろん良いのですが、Bugcrowdの捉え方には極端で正確性に欠けるところがあるのは気になります。

 次に、スキルを身に付ける方法を尋ねた結果は以下の通り。プロの指導によるものが13%だけというのは少々残念ですが、さもありなんとも思える結果ではあります。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 最も強みのあるスキルについて尋ねた結果は以下の通り。「Web Application Testing」が他の追随を全く許さない圧倒的な多さで極端に偏っているのは(理解できなくはないですが)少し気になります。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 ハッカー間の連携の状況を、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。どの区分でも「連携したことはないが、今後は連携したい」が圧倒的に多い結果になっています。「連携したことはなく、今後も連携しない」との回答がどの区分でも15%前後いるのは少々気になるところです。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 ハッキングに費やす時間帯は以下の通り。ステレオタイプのイメージ通りかもしれませんが「夜(正確には夕方以降)」が圧倒的に多いようです。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 この12カ月で行ったことを、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。どの区分でも最も多いのは「サイバーセキュリティと最新の侵害に関するニュースをフォロー」となっていますが、あまりに当たり前のことなので無視するとして、Eliteで「オリジナルのリソースを使ったハッキングの方法を他人に教えた」が多く、また、どの区分でも半数以上が「ハッキングに関連したソーシャルグループやコミュニティグループに参加」しているのは注目に値します。特にグループへの参加が半数以上との結果は、先述の「他のハッカーと連携したことがない人が多い」との結果とは対照的な印象を受けます。

(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)

 回答者らの考えについては以下の3点が挙げられています。

  • ハッカーの78%は、今後10年間はAIによるサイバーセキュリティだけではサイバー攻撃を打ち負かすのに十分ではないと述べている。
  • ハッカーの93%は、エンドユーザーと彼らが働いている組織のウェルビーイング(幸福)を気にしている。
  • ハッカーの87%は、自分たちが発見できるほど多くの重要または未知の資産を脆弱性スキャナーでは発見できないとしている。

 繰り返しになりますが、今回の調査はあくまでBugcrowdのプラットフォーム上で活動している人たちのみを対象にしており、必ずしも全世界の「ホワイトハッカー」の傾向を示すものではありません。実際に回答者の居住地域に偏りがあることが結果に大きく影響していることは否めませんし、そもそも正直に回答している保証もありません。

 それでも、3000人を超えるホワイトハッカーに対して踏み込んで調査した結果にはそれなりに意味があると言えるでしょうし、中でも人種や居住地などの多様性の観点では(内訳の割合は別として)十分に興味深い結果となっています。なお、報告書では何人かのホワイトハッカーに個別にインタビューした写真付きの紹介文も掲載されているなど、今回紹介していない内容も報告書にはまだ多くあります。図が多用されていて比較的読みやすい作りになっていますので、興味のある方はぜひ原文もご覧ください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。