海の向こうの“セキュリティ”
コロナ禍で急増、バグバウンティプラットフォーム「HackerOne」への新規登録者数が56%増
バグバウンティビジネスは不況知らず/セキュリティ関連用語を自国の言葉に翻訳
2020年11月5日 06:00
バグバウンティビジネスは不況知らず
バグバウンティプラットフォーム「HackerOne」は年次報告書「The 4th Annual Hacker Powered Security Report」を公開しました。これは主に2019年5月から2020年4月までの1年間におけるHackerOneの実績をまとめたものです。なお、この報告書ではハッカーを「限界を創造的に克服する知的挑戦を楽しんでいる人」と定義しています。
報告書では、より多くの国や地域から、多くのハッカーが参加してきており、支払われる報奨金も増えてきている実態を詳細に紹介しており、その結果自体に驚きは何もありません。ちなみに、HackerOneに登録しているハッカーは83万人以上、提出された正当な脆弱性は18万1000件以上、支払われた報償金の総額は1億700万ドル以上となっています。また、2019年に解決したレポートは3万7259件、過去12カ月で支払われた報償金の総額は4475万4742ドル、解決したレポートあたりの金額は979ドルとなっています。
今回の報告書で注目すべきはパンデミックの影響です。報告書によればパンデミックが始まって以降の2020年4月から6月までの月平均を、その前の2020年1月と2月の月平均と比較すると、HackerOneへの新規登録者数で56%増(前年同期比69%増)、バグレポート数で28%増(前年同時期比24%増)、報奨金の支払い件数で29%増と大きな伸びを見せています。この点について一部のメディアは「バグバウンティビジネスはrecession-proof(不況に強い)」として紹介していますが、不況に強いというよりも、リモートワークが珍しくなくなってきた中で「インターネット接続を含めた作業環境さえあればどこでもできる仕事として広く認知され、参入する人が増えた」とした方が正確でしょう。
また、今回の調査期間における報償金の平均は「critical」な脆弱性で前年比8%アップの3650ドル、また深刻度によらなければ平均金額は979ドルで、前年から9%の増額となっています。さらに、総額で100万ドル以上稼いだハッカーが9人いることも紹介されています。その一方で、HackerOneに登録しているハッカーたちは「Hack for Good」を通じてWHOの新型コロナウイルス感染症連帯対応基金に3万ドルを寄付していることも報告されています。
パンデミック関連以外の注目すべき点として、まず過去12カ月で支払われた報償金、総額4475万4742ドルの支払い元を国や地域別に分けて順位付けすると以下のようになっています。
1. 米国 - 3912万5265ドル
2. ロシア - 88万7236ドル
3. 英国 - 55万9215ドル
4. シンガポール - 50万5522ドル
5. カナダ - 49万7495ドル
6. オランダ - 41万4817ドル
7. ドイツ - 36万3404ドル
8. スイス - 23万1605ドル
9. イスラエル - 22万9138ドル
10. スウェーデン - 15万2413ドル
その他 - 178万8632ドル
ロシアが前年の6位から大きく順位を上げて2位となったようですが、それでも米国が他を圧倒的に引き離してトップとなっています。一方、報奨金を受け取る側を国や地域で分けて順位付けすると以下のようになります。
1. 米国 - 720万4299ドル
2. 中国 - 535万5683ドル
3. インド - 440万1251ドル
4. ロシア - 308万3973ドル
5. ドイツ - 192万452ドル
6. カナダ - 165万3313ドル
7. 英国 - 143万886ドル
8. フランス - 122万3231ドル
9. 香港 - 104万347ドル
10. アルゼンチン - 98万5681ドル
その他 - 1645万5626ドル
本連載の8月の記事で紹介したBugcrowdの報告書では、報奨金を受け取っているのはインドが最も多く、次いで米国、カナダとなっていましたが、今回のHackerOneの報告書では米国、中国、インドの順になっています。それぞれのバグバウンティプラットフォームに登録しているハッカーの違いが結果に現れているのでしょう。
報告書では他にも、HackerOneと提携している企業の実績についても紹介しています。実際に実名で具体的に紹介されている企業は、AT&TやPayPal、Costa Coffeeなどで、LINEも紹介されています。興味のある方は原文をご覧ください。
URL
- HackerOne
The 4th Annual Hacker Powered Security Report - https://www.hackerone.com/hacker-powered-security-report
- HackerOne (2020年9月21日)
The 4th Hacker-Powered Security Report - https://www.hackerone.com/resources/reporting/the-4th-hacker-powered-security-report
- HackerOne (2020年9月22)
Introducing the 4th Annual Hacker-Powered Security Report - https://www.hackerone.com/blog/introducing-4th-annual-hacker-powered-security-report
- HackerOne (2020年2月23日)
The 2020 Hacker Report - https://www.hackerone.com/resources/reporting/the-2020-hacker-report
- SC Media (2020年9月30日)
New report suggests the bug bounty business is recession-proof - https://www.scmagazine.com/home/security-news/vulnerabilities/new-report-suggests-the-bug-bounty-business-is-recession-proof/
- いわゆる「ホワイトハッカー」と呼ばれる人たちの実態
- https://internet.watch.impress.co.jp/docs/column/security/1269025.html
セキュリティ関連用語を自国の言葉に翻訳
日本と同じ漢字文化圏にある韓国では、IT関連の用語でも英語をそのまま外来語として使うのではなく、自国の言葉(主に漢字語)に翻訳しているものが日本に比べると多く、そのようなものとして例えば以下のようなものがあります。
| 英語/日本語 | 韓国語/発音のカナ表記 |
| account/アカウント | 計定/ケジョン |
| malware/マルウェア | 悪性コード/アクソンコドゥ、悪性プログラム/アクソンプログレム |
| operating system/OS(オペレーティングシステム) | 運営体制/ウニョンチェジェ |
| password/パスワード | 秘密番号/ピミルボノ |
| router/ルーター | 共有機/コンユギ ※英語由来の外来語「ラウタ」とも |
| security/セキュリティ | 保安/ボアン ※英語由来の外来語「シキュリティ」とも |
| tool/ツール | 道具/ドグ |
また、日本では一般的に「脆弱性」と訳されるほか、「セキュリティホール」とも置き換えられる「vulnerability」については、韓国では「脆弱点/チェヤクチョム」または「保安虚点/ボアンホッチョム」と訳されています。
なお、上記の韓国語の漢字表記は日本人にも分かるように、ハングルをそれぞれ対応する日本の漢字に置き換えただけで、基本的に日本語に翻訳したものではありません。
このように自国の言葉に翻訳して使うことが日本よりも多い一方で、日本と同様にほぼ英語のまま外来語として使われている用語も少なからずあり、一般人にも分かりやすい韓国語に翻訳すべきではないかとの意見もあるようです。
そのような中、文化体育観光部の国立国語院のウェブサイトでは、ITに限らず、韓国内で一般的に使用されている外来語を韓国語に翻訳したものを紹介しています。例えば、日本と同様に一般的に英語のままで韓国でも使用されているセキュリティ関連の用語について、国語院が提示している韓国語訳には以下のようなものがあります。
| 英語/日本語 | 韓国国立国語院による韓国語訳/発音のカナ表記 |
| ransomware/ランサムウェア | 金品要求悪性プログラム/クムプムヨグアクソンプログレム |
| phishing/フィッシング | 電子金融詐欺/チョンジャクミュンサギ |
| voice phishing/ボイスフィッシング | 詐欺電話/サギチョンファ |
| spear phishing/スピアフィッシング | 標的オンライン詐欺/ピョジョクオンラインサギ |
| smishing/スミッシング | 文字決済詐欺/ムンチャキョルチェサギ ※SMSなどのテキストメッセージは韓国語で「文字/ムンチャ」。 |
| pharming/ファーミング | サイト金融詐欺/サイトゥクミュンサギ |
また、10月9日の韓国の祝日「ハングルの日」に、この件を記事にした韓国のIT系メディア「アイニュース24」は、国語院のウェブサイトに掲載されていない用語「クレデンシャルスタッフィング(credential stuffing)」に対して「無作為計定代入 情報奪取攻撃/ムジャグィケジョンテイプチョンボタルチュィコンギョク」を提案しています。
同じ漢字文化圏とは言え、日本とは漢字のニュアンスに違いがあるせいか、日本人からすると違和感がある、または翻訳として正確性に欠けると感じられるものもあり、そのまま日本でも使えるとは限りません。また、そもそも韓国国内でも国語院が紹介している韓国語訳に対しては、IT関連の用語に限らず、「愛国心の鼓舞を目的としたものでしかない」との批判もあり、実際に使う人はあまりいないようです。
確かに、専門家同士のやり取りであれば、ニュアンスのブレを避ける意味でも翻訳した用語より原語のままのほうが良いのは間違いありません。しかし、一般の方に対する普及啓発を考えると、韓国の事例はともかくとして、自国の言葉への翻訳は日本でももう少し真剣に考えても良いのではないかと思います。
URL
- 韓国国立国語院
- https://www.korean.go.kr/
- アイニュース24 (2020年10月9日)
ランサムウェア・ディドス・スミッシング…容易な韓国語ないだろうか - http://www.inews24.com/view/1305822
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。