Hello there, ('ω')ノ
目的
- 初心者が参加しやすい
- スコープが分かりやすく重複も少なめ
- 企業のレスポンスが良好
この3条件を満たす“入門に最適”なプログラムを、代表的な4プラットフォームごとにピックアップしました。 ※プログラム内容は 2024 年後半〜2025 年初頭の公開情報を参考にしています。募集状況は随時変わるため、参加前に必ず最新情報をご確認ください。
1. HackerOne(ハッカー・ワン)
| プログラム | 特徴 | 初心者推しポイント |
|---|---|---|
| Shopify | EC 最大手。スコープ明確でドメインも整理されている | Duplicate がそこそこある一方、「低〜中」深刻度でも受理されやすい |
| Yahoo (Verizon Media) | コンテンツ量が多く URL 探索が楽しい | レスポンス平均 2〜3 日と早い。失敗しても丁寧にフィードバックが来る |
| U.S. Department of Defense VDP | 報奨金は無しだが実績作りに最適 | ルールが厳格=学習効果大。「合法ハック」の型を身に付けられる |
なぜオススメ?
- ハッカー向けドキュメントが充実し、報告フォーマット例も手に入る
- Hacktivity で他ハンターのレポートを学べる ⇒ パク…参考にできる
2. Bugcrowd(バグクラウド)
| プログラム | 特徴 | 初心者推しポイント |
|---|---|---|
| Atlassian (Public) | JIRA・Confluence など開発者が触りやすい製品群 | 無料プランでも触れるため テストアカウントが用意しやすい |
| Indeed | 求人サービス。Webフローがシンプル | セッション管理や CSRF チェックの“教科書”として最適 |
| ExpressVPN (Public) | VPN クライアント+Webポータル | 報酬テーブルがフラットで Medium でも数百ドルが狙える |
オススメ理由
- Bugcrowd は「リサーチャー・レベル」制度があり、有効レポート数で Private 招待が増える。
- 上記 3 社は受理率が高く、早期にスコアを稼ぎやすい。
3. Intigriti(インティグリティ)
| プログラム | 特徴 | 初心者推しポイント |
|---|---|---|
| TeamViewer | リモートアクセスで有名 | Web, デスクトップ, モバイルと多様 ⇒ 自分の得意分野を選べる |
| N26 Bank Sandbox | ドイツのオンライン銀行 | 専用テスト環境を提供。実データ操作リスクゼロ |
| European Space Agency (ESA) VDP | 欧州宇宙機関。報奨金は限定的 | ブランド力◎。実績として映える ➡ 履歴書に書きやすい |
推しポイント
- Intigriti は EU 企業比率が高く GDPR 準拠の丁寧なレスが標準。
- 初心者フォーラムで メンター制度 があり、質問ハードルが低い。
4. YesWeHack(イエスウィーハック)
| プログラム | 特徴 | 初心者推しポイント |
|---|---|---|
| Qwant | EU 検索エンジン。プライバシー重視 | スコープが *.qwant.com のみで明快 |
| Le Monde | フランス大手新聞社 | CMS 系バグの宝庫。XSS や misconfig 学習に最適 |
| Orange IoT Challenge | 家庭用 IoT 機器+モバイルアプリ | 報奨金低めだが ハードウェア/モバイル両方学べる |
推しポイント
- レポートをフランス語/英語どちらでも提出可 ⇒ 英語に自信なくても安心
- 小規模コミュニティで競合が少なめ=初バグのチャンス大
5. 選び方の最終チェックリスト(おさらい)
- スコープ明瞭(ワイルドカードか/モバイル限定か)
- レスポンス実績(平均 1 週間以内が理想)
- Duplicate 率≦50%(公開統計 or コミュニティ情報で確認)
- 報酬中央値(Critical だけ高額→初心者には不向き)
- 学習リソース(ドキュメント・テストアカウントの有無)
まとめ:まずは“一勝”を掴もう
- プラットフォームにより文化が違う。自分が質問しやすい場を選ぶ
- 「Medium 深刻度でも報酬が出る」案件は練習に最適
- 学んだら次のレベルへ。初級 → 中級 → Private 招待が王道ルート
バグハンティングのコツは「小さな成功体験を積み重ねる」こと。 まずはここで紹介したプログラムから “一勝” を取りにいきましょう!
Best regards, (^^ゞ
