脆弱性報奨金の実態は？ 「バグバウンティ」に関するHackerOneの調査報告書

　いわゆる「バグバウンティ」と呼ばれる脆弱性報奨金制度を導入している企業や公的機関などが世界的に増えてきている中、その国際的なプラットフォームとして知られるHackerOneは、過去1年間において実施されたバグバウンティプログラムなどについて調査した結果をまとめた報告書「The Hacker-Powered Security Report 2018」を公開しました。対象となる期間は2017年5月～2018年4月で、脆弱性の発見者などから受け取り、HackerOneを通じて1000を超える組織に報告された7万8275件の脆弱性報告を分析しています。

　なお、この報告書で「ハッカー（Hacker）」は以下のように定義されています。

　報告書についてHackerOneのブログでピックアップされているポイントは以下の6点。

• HackerOneが取り組みを始めた2012年から2018年6月までの間に、さまざまな組織から支払われた賞金の総額は3100万ドルを超えており、その3分の1以上となる1170万ドルが調査対象期間の1年間だけで支払われている。
• 1万ドルを超える報奨金が支払われたバグレポートは116件。深刻（critical）なものに対する平均額は2000ドルを超えるまでに増加している。また、25万ドルを提示している組織もある。
• 政府主導の公的なプログラムは前年比で125％増加している。例えば、米国防総省をはじめ、欧州委員会やシンガポール防衛省も実施している。
• 取り組みは世界的に増え続けており、中でもラテンアメリカでは脆弱性開示ポリシー（VDP：Vulnerability Disclosure Policy）やバグバウンティに対する理解を最も多く実現しており、前年比で143％も増加している（図1参照）。
• 「フォーブス・グローバル2000」に掲載されている企業でも、その93％（前年は94％）は外部から提示された深刻なバグに関する報告を受け取って、対応し、解決するためのポリシーを持っていない（実際、4人に1人近くのハッカーが脆弱性を見つけても対象企業とのチャネルがないため報告しなかったことがあるとしている）。
• 教室でスキルを学んだハッカーは5％未満。ハッカーは学びたがっている。

図1

　報告書はかなり盛りだくさんな内容でその全てを紹介することはできませんが、今回は上記以外の点についていくつか抜粋して紹介します。興味のある方はぜひとも原文をご覧ください。

国別の支給額と獲得額

　報奨金を支払う側と受け取る側を国別にまとめたのが以下の図です。

　支払う側は前年に引き続き米国が圧倒的に多く、全体の8割を超えています。また、2位も前年と同じくカナダとなっている一方、英国が前年の6位から3位に順位を上げています。

　一方、受け取る側については、全てが図の中に記されているのではなく、支払う側と対比できるもののみとなっています。実際に受け取る側の順位は以下のようになっています。

　この中でドイツは獲得した金額が前年比157％の増加となっています。

バグバウンティの形態

　バグバウンティの形態を大きく「public」と「private」に分けた結果が以下の図です。ここで「public」とは広く一般に公開されて誰でも参加できるもので、「private」は招待された人または参加申込を経て受け付けられた人のみが参加できるものです。

　圧倒的に「private」が多数を占めていますが、「public」の方が参加者に多様性があるため、より優れた結果が出ており、平均して「public」では正当な脆弱性を報告するハッカーの数が「private」の3.5倍になるとのことです。なお、「private」の割合は減少傾向にあり、前々年の92％から前年は88％、今回は79％となっており、バグバウンティは「public」なものになってきているようです。

　また、「public」なバグバウンティの63％はテクノロジー（Technology）業界によるもので、次いで金融業界（Financial Services and Banking）とメディア／エンタメ業界（Media and Entertainment）がそれぞれ9％となっています。一方、消費財（Consumer Goods）やヘルスケア（Healthcare）、情報通信（Telecommunications）の業界ではほぼ100％が「private」となっています。

解決と支払いにかかる時間

　報告された脆弱性を修正するのにかかる時間と、報奨金を支払うまでにかかる時間を業界別にまとめたのが以下の図です。

　解決のスピードが速いのは消費財（Consumer Goods）の14日、金融系（Financial Services & Insurance）の19日、ヘルスケア（Healthcare）の20日となっています。一方、時間がかかっているのは政府系（Government）の68日、運送（Transportation）の65日、テクノロジー（Technology）の64日となっています。時間がかかる理由は業界ごとにも組織ごとにも違うので一概には言えませんが、技術面での複雑さやサプライチェーンの問題で調整しなければならない関係者が多いためではないかとしています。

　解決してから報奨金を支払うまでの時間が短いのはヘルスケア（Healthcare）の15日、政府系（Government）の18日、金融系（Financial Services & Insurance）の19日となっており、逆に時間がかかっているのは旅行・宿泊（Travel & Hospitality）の61日、情報通信（Telecommunications）の51日、専門サービス（Professional Services）の47日となっています。

　注目すべき点として、ヘルスケア業界や政府系では（脆弱性の存在を確認後）解決し終わる前に報奨金を支払う傾向があるようです。

脆弱性の深刻度と報奨金

　報告された脆弱性の深刻度をまとめたのが以下の図です。

　また、深刻（critical）に分類された脆弱性に対して支払われた報奨金を業界ごとの平均値で並べたのが以下の図です。

　バグバウンティを実施している組織の約60％が深刻な脆弱性に対して平均1500ドルの報奨金を支払っており、これは前年から50％（500ドル）の増額となっています。なお、HackerOneのプラットフォームにおいて深刻な脆弱性に対して支払われた報奨金の全業界での平均は2041ドルで、これは前年の1923ドルから6％の増額となっています。

　脆弱性の深刻度による報奨金の違いを示したのが以下の図です。なお、グラフは「パーセンタイル（percentile、百分位数）で示されていることに注意してください。

　高額報奨金の上位1％では2万ドルに及んでおり、この金額は前年から33％（5000ドル）の増額となっています。

高額報奨金

　各業界で支払われた最高額をまとめたのが以下の図です。

　また、業界ごとに報奨金の総額をまとめたのが以下の図です。

　どちらもテクノロジー（Technology）業界が他を圧倒しています。実際、IntelとMicrosoftは最大25万ドル、GoogleとAppleは最大20万ドルを提示しています。しかし、これだけの金額を提示できる組織は当然のことながらごくわずかです。

ハッカーの実態

　今回の報告書では、脆弱性を発見し、報告しているハッカーの実態についても調査しています。まず、ハッカーが1週間でどれくらい「ハッキング（Hacking）」に時間を費やしているかを示したのが以下の図です。

　「ハック（Hack）」する理由を尋ねた結果が以下の図です。金銭目的は前年の1位から4位に落ちていますが、上位5つの差は誤差の範囲でしょう。一方で「学びたい」が上位に来ている点は注目に値します。

　年齢は以下のような分布となっています。18歳から34歳までが全体の8割以上を占めています。

　それぞれの国や地域で最も報奨金を稼いだ「トップパフォーマー（top performer）」の獲得金額が、それぞれの国や地域におけるソフトウェアエンジニアの年収の平均値（中央値）の何倍になるかをまとめたのが以下の表です。平均は2.7倍です。

　今回の報告書は、すでにバグバウンティを実施している企業や組織にとって今後の改善に向けた参考資料として使えるのはもちろん、これからの実施を計画している企業や組織にとっても参考になるところは多いでしょう。関係者の皆さんには一読を強くお勧めします。