新型コロナの影響で「バグバウンティ」に参加する人は本当に増えた？

パンデミックはバグバウンティに影響を与えたか?

　本連載の11月の記事でも紹介したように、新型コロナウイルス感染症（COVID-19）の世界的なパンデミック以降、脆弱性を見つけて報償金をもらう、いわゆる「バグバウンティ」に参加する人が増えているようです。これは、リモートワークが珍しくなくなってきた中でインターネット接続を含めた作業環境さえあればどこでもできる仕事として広く認知されるようになったためと考えられます。

　そのような中、バグ報奨金プラットフォームの米Bugcrowdは、パンデミックがバグバウンティに与えている影響を分析した結果などを「Priority One Report」として公開しました。

　これは、Bugcrowdが取り扱った脆弱性について、過去12カ月（ほぼ2020年内）と前年を比較したもので、主要なポイントとして以下の8点が挙げられています。なお、この脆弱性には、一般的なソフトウェアの脆弱性だけでなく、ウェブアプリケーションの脆弱性も含まれています。また、あくまでBugcrowdが扱った脆弱性であり、世の中に公になった全ての脆弱性を対象としたものではないことに注意が必要です。

　なお、2019年と2020年の脆弱性分類トップ10は以下の通り。

　2019年と2020年は概ね同じものがランクインしていますが、2020年に新たにランクインしたのは以下の2つです。

4. Cross Site Scripting XSS （Stored） → Privileged User to Privilege Elevation
10. Server Side Injection → Remote Code Execution （RCE）

　また、脆弱性の提出数が増える一方で、同じ脆弱性を他の人も見つけて提出する重複が増えており、競争が起きている実態も明らかになっています。

　さらに業種別で顕著な点として、金融系の企業がP1の脆弱性に対して支払った報奨金の総額は、2020年の第1四半期から第2四半期にかけて2倍に増えています。この点についてBugcrowdは、パンデミックによる支店の閉鎖やビジネスプロセスの変化により、金融業界は他の業種よりも速いペースでデジタルトランスフォーメーションを進めなければならなくなり、攻撃対象領域（attack surface）の拡大に伴う新たなリスクを特定するのに（自社独自にバグバウンティプログラムを実施するのではなく）Bugcrowdのようなクラウドソーシングによるバグバウンティを利用するようになったためと説明しています。

　なお、クラウドソーシングによって何らかの深刻な脆弱性を見つけるまでにかかる時間は数時間から数日で、対象となる業種によって違いがあることが分かっています。以下の図は、優先度が「Critical」または「High」に分類される脆弱性を最初に見つけるまでにかかった平均日数をまとめたものです。消費者向けサービスや電気通信、メディアなどでは1日もかかっていないことが分かります。

　Bugcrowdは今回の報告書をパンデミックの影響を分析したものとアピールしていますが、それは少々「誇大広告」でしょう。確かにパンデミックの影響については上記の金融業界の例で明確に触れていますが、それ以外については、単に2019年と2020年の状況を比較して傾向をまとめただけの「いつも通りの年次報告書」であり、キーワードとしてパンデミックを挙げているだけにすぎません。強いて他にパンデミックの影響を挙げるならば、報告書内では明記されていませんが、脆弱性の提出件数が増え、精度が上がったのは、パンデミック以降、バグバウンティに参加する人が増えたためと考えることはできるかもしれません。

　いずれにせよ、パンデミックの影響の有無は別として、2019年から2020年にかけて、バグバウンティの市場が充実かつ成熟してきているのは今回の報告書から明らかです。パンデミックとは関係なく、今後もこの傾向が良い形で進むことを大いに期待しています。