Hello there, ('ω')ノ
🛠 バグバウンティの基本的な流れ
まずは、全体の流れをざっくり理解しましょう。
🔄 1. 企業が「バグを探してください」と依頼する
企業は、バグバウンティ専用のプラットフォーム(例:HackerOneやBugcrowd)を通じて、 「この範囲の中でバグを探してくれたら報酬を出します」というプログラム(依頼)を公開します。
公開範囲(スコープ)には、対象のウェブサイト、アプリ、APIなどが明記されています。
🔎 2. ハッカーが参加し、脆弱性を探す
世界中のハッカーがこのプログラムを見て、自分が得意なジャンルや興味のある企業に参加します。
脆弱性(バグ)を発見したら、プラットフォーム上で報告書(レポート)を作成し、企業に送信します。
🧪 3. プラットフォームが一次審査
報告はまずプラットフォーム側で「本当にバグっぽいか?」という一次チェックを行います。
自動ツールではなく、人間が見ている場合も多く、ここで不備があると差し戻されることもあります。
🧑💻 4. 企業が検証・評価
企業のセキュリティチームがレポートを受け取り、
- 内容が再現可能か?
- システム全体に与える影響は?
- 緊急性はあるか?
などを評価して、「受理するかどうか」を判断します。
💰 5. バグが承認されると報酬が支払われる
バグが有効と判断された場合、あらかじめ決められた報酬金額(バウンティ)が支払われます。
報酬額はバグの深刻度に応じて次のように変わります。
| 深刻度 | 例 | 報酬の目安 |
|---|---|---|
| 低 | 表示ミス、軽微な設定ミスなど | 数千円〜1万円程度 |
| 中 | 権限のない情報が閲覧できる | 数万円〜10万円程度 |
| 高 | 他人になりすませる、不正送金できる | 10万円〜100万円以上 |
| 重大(クリティカル) | 全データ流出、リモート操作可能 | 100万円〜1,000万円以上もあり |
💸 報酬の支払いはどうやって行われるの?
バグバウンティ報酬の支払いは、各プラットフォームを通じて行われます。主な流れは以下のとおり:
- ハッカーのアカウントに報酬が「保留」状態で反映される
- 承認されると「確定」し、受け取り可能になる
- 支払い方法は以下のような選択肢が一般的
| 支払い方法 | 備考 |
|---|---|
| PayPal | 最も一般的。登録も簡単 |
| 銀行振込 | 法人口座または個人口座を使う |
| 仮想通貨(暗号資産) | 一部プラットフォーム(Immunefiなど)で対応 |
| Amazonギフト券など | 小規模・非報酬型プログラムで使われる場合あり |
※報酬を受け取るには、本人確認(年齢や身元)の手続きが必要です。
💡 ポイント制のプログラムもある
実は、すべてのバグバウンティが「お金」をくれるわけではありません。
一部の企業(例:Disneyなど)は、報酬の代わりに「ポイント(評価スコア)」を付与するスタイルを採用しています。 そのポイントによってランキングが上がったり、非公開プログラムに招待されることも。
ただし「報酬なし=無償労働」と感じる人も多いため、初心者のうちは報酬ありの公開プログラムを選ぶのがオススメです。
🧠 例:こんなバグ報告が報酬につながった!
あるWebアプリでログイン後のページに直接アクセスできてしまう「認証バイパス」のバグを発見した事例では、 10万円の報酬が支払われました。
報告内容には以下のような情報が含まれていました:
- 再現手順(URLや操作の流れ)
- どのような影響があるか(ユーザー情報が閲覧可能など)
- 解決のヒント(サーバー側での検証が必要、など)
🛡 合法的に・安全に活動するには?
バグバウンティは企業の許可を得た範囲で行うからこそ合法であり、安全です。
以下の行為は絶対にNG:
- 許可されていないサービスを勝手に調査する
- 発見したバグを第三者に販売・公開する
- バグを悪用してシステムを壊す、データを盗む
すべての活動は、「事前に明示されたルールの範囲内」で、かつ「倫理的に」行う必要があります。
✅ まとめ:報酬は「信頼」の対価
バグバウンティは、ただの「ハッキング報酬」ではありません。 企業とハッカーとの間にあるのは「信頼」と「透明性」です。
- 企業:信頼できるレポートに正当に報酬を支払う
- ハッカー:ルールを守り、価値ある情報を届ける
この健全な仕組みがあるからこそ、安心して活動できるセキュリティの新しい形が成立しているのです。
Best regards, (^^ゞ
