HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点

5 Things New with Bug Bounty Programs

2022/01/07 SecurityIntelligence — 2021年9月29日に HackerOne は、Internet Bug Bounty (IBB) プログラムの最新版を発表した。この取り組みにより、2013年から2021年の間に生じている、オープンソース・ソフトウェアに存在する、1,000件以上の脆弱性を発見するよう調整がなされた。HackerOne の最新バージョンは、既存のバグバウンティから得られる防御力を蓄積し、脆弱性管理ライフサイクルに貢献する利害関係者を表彰する方法で報奨金を分割していく。さらに、脆弱性提出フローの統合により、参加する研究者のエクスペリエンスを向上させ、プログラムの範囲をさらに拡大することを目的としている。

IBB プログラムは、サプライチェーン・セキュリティの向上に貢献していると、HackerOne は指摘している。今日の平均的なアプリケーションでは、528個のオープンソース・コンポーネントが使用されており、潜在的に何千もの組織が依存しているソフトウェアを侵害するためのベクターを、悪意のある行為者たちはたくさん持っている。また、攻撃者にとっては時間も味方になる。ZDNet のレポートによると、オープンソース・プロジェクトの弱点のほとんどは、4年間は発見されないとのことだ。したがって、IBB のようなセキュリティ・コミュニティが、一体となる取り組みが必要になる。

バグバウンティ・プログラムにおける新しい役割とは?

HackerOne の最新の取り組みや、オープンソース・ソフトウェアの脆弱性の検出率の向上だけが、バグバウンティ・プログラムの新しい展開ではない。以下で、脆弱性管理の状況を形成するのに役立っている5つの事柄を紹介していく。

  1. Priority One (P1) 申請の増加

2021年に発表されたレポートによると、BugCrowd は、最も深刻なソフトウェアの欠陥を報告する、Priority One (P1) の数が増加していることを確認している。クラウドソースのセキュリティ・プラットフォームである BugCrowd は、2020年の調査において、前年比で 65% 増の P1 報告を受けた (同時期に提出された全脆弱性の 50% 増に加えて)。この期間に提出された脆弱性の多くは、Web アプリケーションに存在するものだったが、ハッカーたちは API や Android デバイスなどの分野にも目を向けていた。

P1 の提出件数の伸びは、2020年の全分野で一様ではなかった。ソフトウェアを例に挙げてみよう。BugCrowd が明らかにしたところによると、年初の10カ月間におけるソフトウェア組織の提出数は、2019年の総量を上回り、P1 提出数はハロウィーンまでにほぼ3倍になったという。金融サービス分野でも同じようなことが起こった。2020年の Q1 から Q2 にかけて、この業界の組織に影響を与える、P1 脆弱性に対するバイヤーの支払い額は倍増した。

  1. バグレポートを提出するハッカーの数の増加

HackerOne が発表した 2021 Hacker Report によると、2020年にバグレポートを提出したハッカーの数は、例年に比べて多いことが分かった。脆弱性調整とバグ報奨金のプラットフォームを通じてレポートを提出したハッカーの数は、2020年で 63% 増となっている。つまり、2018年に参加したハッカーと比較すると 143% の成長である。

HackerOne によると、2020年当時、ほとんどのハッカーは、脆弱性レポートの提出を主な収入源としていなかった。具体的には、パートタイムを自認するハッカーは 82% だが、フルタイムだと答えたハッカーは 35% に過ぎなかった。

  1. 多くのバグバウンティ探求者は学ぶためにハッキングする

HackerOne のレポートでは、多くの回答者がハッキングを将来につながる仕事だと考えている。33% 人は、バグバウンティのプラットフォームに、自分のスキルを利用し、すでに仕事を確保したと答えている。また、セキュリティ研究者の 25% は、社内のセキュリティチームに所属し、情報セキュリティ分野でキャリアを積みたいと答えている。

しかし、すべての人が、同じ志や動機を持っているわけではない。確かに、参加したハッカーの 75% は、報奨金を得るためにハッキングしたと答えている。しかし、それ以上の割合となる 85% のハッカーが、単に自分のスキルを磨き、視野を広げるために活動していると説明している。また、60% の人がキャリアアップのためにハッキングをしていると回答し、約 50% が企業や個人を脅威から守るための手段として、ハッキングに興味を持っていると答えている。

また、BugCrowd も同様の結果を発表している。クラウドソースのセキュリティ・プラットフォームである BugCrowd は、以下のように述べている。

「アーリー・アダプターや先駆者たちと同様に、現代のハッカーたちも 18歳〜24歳の若い世代が 53% を占めており、顕著な道徳観を持っていることが多い。多くのハッカーは、ブラックマーケットやグレーマーケットでの脆弱性に対する金銭的な報酬を度外視し、自分の才能をセキュリティの向上に活かし、時間の一部をコミュニティに還元することに費やしている」

さらに、BugCrowd では、ハッキングの経験を活かして自分のブランドを確立している研究者もいると見ている。最初は初心者だったが、ハッキングを続けていくうちにフォロワーが増え、評判が高まっていった人もいる。また、自分の経験をアピールするために、ビデオやストリーミングのコンテンツを制作し、その過程で起業家としてのオピニオンリーダーになった人もいた。

  1. コンフィグレーション・ミス (およびヒューマンエラー) 報告の増加

HackerOne のレポートによると、ハッカーがミス・コンフィグレーションの問題を報告するケースが増えているそうだ。この脆弱性コーディネート・プラットフォームは、2020年にはミス・コンフィグレーションに関する報告が 310% 増だったと述べている。とはいえ、その期間中にハッカーが発見した、最も人気のあるタイプの脆弱性のリストに、ミス。コンフィグレーションは入っていない。

  1. 明確な報告プロセスの欠如

最後に、ハッカーたちは、明確なレポート・プロセスが存在しないために、自身の仕事を最後まで見届けないことがあるという。セキュリティ研究者の半数は、HackerOne に対して、脆弱性を開示しないと選択したことが、一度はあると答えている。そのうちの約 25% は、セキュリティ上の欠陥を報告するための、明確なルートが存在しないためだと答えている。また、ほぼ同じ割合で、ホスト企業の対応が悪かったことも理由に挙げられている。また、ハッカーの 19% は、自分の研究に報奨金が出なかったことで、欠陥を公開しなかったとも回答している。

今回の調査結果を受けて企業が考えるべきこと

企業は、上述の調査結果を利用して、デジタル・セキュリティの取り組みを強化することが可能だ。そのためには、いくつかの方法がある。まず、バグバウンティ・プログラムの効果が、さらに高まってきたことが明らかになった。したがって企業は、まだバグ報奨金制度を導入していないのであれば、より大きな脆弱性管理戦略の一環としてバグ報奨金制度の導入を検討すべきだ。社内でプログラムを作成することも可能だが、HackerOne や BugCrowd のようなプロバイダーと協力して管理することもできる。

第二に、企業は、ミス・コンフィグレーションの発見を利用して、ヒューマンエラー事例を無くすことに注力できる。その方法の1つとして、意識向上のためのトレーニングを行い、従業員などの関係者に対して、セキュリティ・ポリシーや関連するベスト・セキュリティ・プラクティスを教育していくことが可能だ。最後に、情報セキュリティチームは、ベスト・プラクティスを用いて、バグ・バウンティ・プログラムを可能な限り明確にすることができる。それにより、研究者が組織と協力して、対象となる組織の脆弱性管理プログラムに、長いスパンで貢献する手段の確保が可能となる。

2021年11月に「倫理的ハッカーたちを護れ:この一年で3兆円の経済効果を生み出している!」という記事をポストしていますが、それを読めばバグ (脆弱性) を見つけ出すために、倫理的ハッカーが活躍している様子が分かります。また、2021年12月の「Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた」を読めば、彼らの活躍により、この危機的な状況が緩和されていることも理解できます。その一方で、彼らの経済というものも考えなければなりません。

%d bloggers like this: