Hello there, ('ω')ノ
1. まず“自分の現在地”を可視化しよう
観点 | 自己チェック例 |
---|---|
技術レベル | 「XSSの再現コードが書ける」「BurpでCookie改ざんまで試せる」など |
使える時間 | 週3時間? それとも週末集中? |
関心分野 | Webアプリ / モバイル / API / ブロックチェーン… |
報酬目標 | 月数千円の副収入? それとも本業レベル? |
ゴールが決まると、選ぶ基準も明確になります。
2. 公開・非公開、まずは 公開プログラム から
公開 (Public) … 誰でも今すぐ参加可。⭕
非公開 (Private/Invite Only) … 実績やスコアが一定以上で招待。🔒
初心者は“公開”一択 最初は競争率が高くても、動きやすさ・学びやすさが段違いです。
3. スコープを読む3つの着眼点
着眼点 | 見るべき記述 | 何を判断する? |
---|---|---|
① 広さ | *.example.com か、一部サブドメインだけか |
調査量=作業時間 |
② 種類 | Web / モバイル / IoT / API | 自分の得意分野と合うか |
③ 更新頻度 | 「毎月ホスト追加」と書かれているか | ネタ切れしにくいか |
4. 報酬テーブルより 平均承認率 を見る
- 高額バウンティでも、承認率(duplicate率)が高いと結局ゼロ円。
- プラットフォームの統計で “Valid/Resolved” の割合が高い案件は 企業のレスポンスが良い 証拠です。
5. 競争率は “リワード中央値 ÷ レポート総数” でざっくり推測
- 低いほど「小粒でも数が出る」= 練習向き
- 高いほど「当たればデカいが、重複しやすい」
数字はあくまで目安。最初は練習>報酬 と割り切るのが長続きのコツです。
6. “好きなサービス” から始めると学習効率アップ
- 日頃使っているアプリやプラットフォームは UIやビジネスロジックを理解しやすい。
- 不具合に気付きやすく、バグの再現もスムーズです。
7. プログラム比較チェックシート(サンプル)
項目 | プログラムA | プログラムB |
---|---|---|
公開/非公開 | 公開 | 公開 |
スコープ | *.shop.com | api.service.io |
自己スキルとの親和性 | ◎ (Web+JS) | ○ (REST API) |
初回報酬目安 | 5,000〜30,000円 | 10,000〜50,000円 |
承認率 | 78% | 45% |
企業レスポンス | 3日以内 | 10日以内 |
参加決定? | ✔ | - |
1〜2社に絞り、「まずは1件報告してみる」 ことを最優先にしましょう。
8. 迷ったら コミュニティの声 を頼る
- HackerOneの「Hacktivity」やDiscord/Slackのハンターコミュニティには 生の体験談 が多数。
- 「○○社はレス早い」「バグ埋もれがち」など、数字では見えない情報が得られます。
9. 選定後のTODO
- スコープ全ドメインを Reconツールでリスト化
- テスト用アカウントを作成
- 30分だけ触って 「見込みがなさそう」なら即撤退
- 別プログラムで再挑戦 ➡ 回転率を上げると経験値が倍速に
まとめ:“自分に合う” = 続けやすい
- 報酬額よりも 承認率・レスポンス・スコープ適合度 を重視
- 好きな分野で小さく実績 → 非公開や高額案件へステップアップ
- 合わないと感じたら早めに切り替え、モチベーションを保つ
「当たり案件」を探すより、 自分が“当たり”を出せる案件 に出会うことが成長への近道です。
Best regards, (^^ゞ