Hello there, ('ω')ノ
1. スコープとは? 3行まとめ
| ポイント | 内容 |
|---|---|
| 定義 | 企業が「ここだけ調べてOK」と公式に示す許可範囲 |
| 目的 | 法的リスクをなくし、調査を効率化 |
| 重要性 | 一文字でも外れると対象外(No bounty / ルール違反) |
2. スコープ欄の“キーワード”早見表
| 記述 | 意味 | アクション |
|---|---|---|
*.example.com |
メイン+すべてのサブドメイン | 全サブドメイン列挙ツールを活用 |
api.example.com/v2/ |
パス指定あり | /v1/は対象外と心得る |
Mobile apps: iOS & Android only |
モバイル限定 | Webサイトはスキャン禁止 |
Out of scope: staging.* |
明示的に除外 | テスト環境に触れない |
Social engineering strictly prohibited |
ソーシャル系攻撃NG | フィッシング検証は不可 |
3. “罠”になりやすい 5 つのパターン
| 罠パターン | 落とし穴例 |
|---|---|
| ワイルドカード誤解 | *.shop.example.com と *.example.com は別物 |
| DNSエイリアス | cdn.example.net が実質 example.com でも対象外の可能性 |
| 機能単位限定 | “ログイン機能のみ” の場合、購入機能はNG |
| 時間限定スコープ | 「新機能リリースから30日間のみ」など期限切れに注意 |
| テストアカウント提供必須 | 申請せず個人登録→規約違反扱い |
4. 報酬テーブルの読み方
① Severity-based(深刻度別)
Critical : $5,000 〜 $20,000 High : $1,000 〜 $5,000 Medium : $200 〜 $1,000 Low : 0 〜 $200
- 上限額は「理論値」。実際は中央値を見ると現実的。
- 同じ“Critical”でも資産価値 × インパクトで倍以上差が出る。
② Bug-class 別(バグ種別固定額)
| バグ種別 | 一律報酬 |
|---|---|
| XSS | \$500 |
| SQLi | \$2,000 |
| RCE | \$10,000 |
- 再現しやすいバグほど報酬低めが一般的。
- “一律”でも説明の質で上乗せされるケースあり。
③ CVSS or VRT スコア換算
- プログラム独自の計算式。
- 計算ロジックが公開されているかを確認してから見積もるとミスがない。
5. 相場感をつかむ 3 ステップ
同業他社と比較
- SaaS系:Critical 平均 \$3k〜8k
- FinTech:Critical 平均 \$10k 以上
過去公開レポートを検索
- HackerOne「Hacktivity」でバウンティ金額を確認
自分の発見バグを Severity マッピング
- XSS → Medium 〜 High
- IDOR → High(顧客データなら Critical)
6. 実践:スコープ+報酬で“狙い目”を探すフロー
- 広いワイルドカード × 承認率70%以上
- 報酬中央値 \$1,000 以上 だがレポート総数少なめ
- 技術スタックが公開済み(WappalyzerでReact+Node確認)
- → 初学者でもXSSやIDORが狙いやすい環境と判断
7. まとめ:読解力は最大の時短ツール
- スコープ読解=合法ラインの引き方
- 報酬テーブル読解=労力対効果の見積もり
- どちらも 「数字」と「言葉」の両方に注意 するとミスを防げる
“線の内側で、大きく当てる” その第一歩は スコープと報酬の正確な読み取り から!
Best regards, (^^ゞ
