Hello there, ('ω')ノ
🛡 バグバウンティは「合法なハッキング」だからこそルールが超重要
バグバウンティは「企業の許可のもとに実施する脆弱性調査」です。
つまり、ルール(プログラムポリシー)に基づいて行われるからこそ合法であり、報酬も得られるのです。
そのため、ルール違反をすると:
- レポートを受理してもらえない
- アカウントをBAN(利用停止)される
- 重大な場合は法的責任を問われる
といったリスクがあります。
📜 プログラムのルールってどんなことが書いてあるの?
バグバウンティプログラムには、「この範囲だけ調べてください」「こういう行為は禁止です」といった具体的なルールが書かれています。
主なチェック項目は以下の通り:
| 項目 | 内容例 |
|---|---|
| 対象範囲(スコープ) | 例:*.example.comのみ/モバイルアプリは除外 など |
| 報告可能なバグの種類 | XSSや認証回避はOK、DoS攻撃やソーシャルエンジニアリングはNG など |
| 報酬額の目安 | バグの深刻度に応じた支払い条件 |
| 報告方法 | 必ずプラットフォーム経由で、PoC付きで報告 など |
| 禁止行為 | 攻撃的なスキャン/サービス停止/第三者情報の取得 など |
このようなルールは、プログラムごとに異なるため、毎回しっかり読むことが必須です。
🚫 よくあるルール違反とその落とし穴
❌ 1. スコープ外の攻撃を行う
「本社サイトの脆弱性は対象外」と書かれているのに調査してしまうとNG。
🔍対策:対象URLを事前にマップ化する。ワイルドカード(*.example.com)は要注意。
❌ 2. サービスを止めてしまうような攻撃
DoS(サービス妨害)系の攻撃や、意図せず大量のリクエストを送ると、対象企業に迷惑がかかります。
🔍対策:スキャン系ツールを使う際は、負荷が軽いモードや事前確認を徹底。
❌ 3. 個人情報を取得・利用する
たとえ技術的に可能でも、ユーザーの実データやメールを勝手に使うとアウトです。
🔍対策:再現にはダミーアカウントを使用。データはログに残さない。
❌ 4. 報告前にSNSで公開してしまう
「こんなの見つけた!」とSNSでつぶやくのは守秘義務違反にあたる場合があります。
🔍対策:バグの詳細は報告が完了し、企業の許可が出るまで公開しない。
✏️ ルールを守るための3つのポイント
事前にプログラムページをしっかり読む
- スコープ・禁止行為・支払い条件などは必ず確認
不明点は遠慮せず質問する
- プラットフォームには「問い合わせ機能」あり。曖昧なまま進めない
ログを記録しておく
- 自分の調査行動を証明できるよう、日付・URL・操作ログは残しておくと安心
✅ まとめ:「正しく守る」ことが一番の近道
バグバウンティは自由度の高い活動ですが、その自由の裏には責任があるということを忘れてはいけません。
- ルールを理解することが「合法」と「報酬」への第一歩
- 安全に活動すれば、企業からの信頼も積み上がっていく
- わからないことは「聞く」ことが、プロのハッカーとしての第一歩
ルールは“足かせ”ではなく、“ガイド”である。
そう思えるようになれば、もう立派なバグハンターへの道を歩み始めています。
Best regards, (^^ゞ
