HackerOne paid ethical hackers over $300 million in bug bounties
2023/10/28 BleepingComputer — HackerOne が発表したのは、同社のバグバウンティ・プログラムにおいて、倫理的ハッカーや脆弱性研究者に対して提供された報奨金が、累計で $300 million に達したことだ。これまでに、30人のハッカーが $1 million 以上の報酬金を獲得し、その中には $4 million 以上の報酬金を受け取った人もいるという。HackerOne は 10年以上前に設立されたバグバウンティ・プラットフォームであり、脆弱性や弱点を特定/報告する倫理的ハッカーたちに報酬を支払うことで、ソフトウェア・ベンダーとの関係を構築している。
基本的に HackerOne は、バグバウンティ・システムをホスティングし、情報の開示/調整を行うプラットフォームであり、報告者への支払いを保証する企業は、報告された情報を管理し、特定された問題を迅速に解決していける。
2023年において、報告されたバグの修復を完了するまでに、企業が要した日数は平均 25.5日であり、2022年と比べて 28% ほど改善されたという。
バグの金額は?
HackerOne が共有した “2023 Hacker-Power Security Report” は、今年のトレンドに関する洞察するものになっている。
倫理的ハッカーから最も注目を浴び続けているものは、暗号とブロックチェーンのエンティティであると、同社は強調している。今年に入ってから、暗号通貨に関連する企業から支払われた報奨金の最高額は、$100,050 だった。
このプラットフォーム上のバグ報奨金の中央値は $500 でaり、90 パーセンタイルでは $3,000 に達している。クリティカルで重大性の高い欠陥については、全産業の平均が $3,700 であり、90パーセンタイルでは $12,000 に達する。
HackerOne によると、従来からのバグ探しだけが、このプラットフォームの活動ではないという。たとえば、今年のペンテストの契約は 54% も増加しているという。
AI は助けであり標的でもある
HackerOne のプログラムに参加する倫理的ハッカーの 50% 以上が、何らかの形で生成 AI を使用し、レポートの作成/コードの記述/言語障壁の軽減などを行っていると報告している。
彼らの 61% は、より多くの脆弱性を見つけるために生成 AI を使用する予定だと報告しており、55%は、今後の数年間において、AI ツール自身が価値のある攻撃ターゲットになると予想している。
AI が、よりセキュアなソフトウェア製品につながるのか、それとも脆弱性の増加につながるのか、バグハンターたちの予測は分かれている。
このレポートに記録された、その他の意見としては、参加動機と落胆要因が含まれている。最も大きな動機になっているのは懸賞金の 73% であり、それに続くのが、大量の脆弱性 (50%)、学ぶ機会 (45%)、多様なスコープ (46%)、迅速な支払い (42%) である。
その一方で、このプログラムからハッカーたちを遠ざける要因として挙げられるのは、レスポンスの遅さ (60%)、限られたスコープ (58%)、コミュニケーション不足 (55%)、少ない報奨金 (48%)、否定的なレビュー (44%) などである。
HackerOne のバグ報奨金プログラムに興味がある人は、同社のディレクトリを閲覧して、バグを発見に関する範囲を確認できる。
バグバウンティ・プログラムは、とても大切なものであり、また、セキュリティに寄与するものです。その意味で、このような調査は重要ですね。そして、この調査結果から示唆されるように、懸賞金だけで成り立つのかと言うと、そうでもない状況があるようです。よろしければ、2022/07/30 の「バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える」と、カテゴリ BugBounty を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.