このページの本文へ

ホワイトハッカーのおしごと 第4回

脆弱性を見つける賞金稼ぎだけで食べていける?

世界で26億円もの金が動く、賞金稼ぎバグハンターという生き方

2018年11月08日 11時00分更新

文● 牧野武文 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

日本でも認知が広がって来た「バグハンター」という仕事

 バグバウンティ制度をご存知だろうか。バウンティとは報奨金のこと。企業がウェブやデジタル製品などについて、広く脆弱性検出を依頼し、発見した人には報奨金を支払うという仕組みだ。Google、Facebook、MicrosoftというグローバルIT企業が導入しているのはもちろん、日本でもLINE、サイボウズ、任天堂、エイベックス、gumi、pixivなどが導入している。

 このようなバグバウンティには誰でも参加できる。企業が独自にオフィシャルサイトなどでバグバウンティ制度を運営していることもあるが、多くはバグバウンティプラットフォームに登録をし、あとは対象のウェブ、アプリなどから脆弱性を探し出し、レポートを提出する。これで、場合によっては100万円以上の報奨金が得られる。

 中には、企業に属することなく、このバグバウンティ制度を利用して、報奨金だけで生活していきたいと考えるホワイトハットハッカーもいて、彼らはバグハンターと呼ばれる。報奨金だけで生活をしていくことは可能だろうか。

世界のバグハンターの実情

バグバウンティプラットフォームHackerOneが毎年公開しているレポート。図は、国別のバグハンター分布図。インドがとにかく多く、米国、ロシアと続く。レポートは、メールアドレスなどを登録することで無料でダウンロードできる。

 世界最大のバグバウンティプラットフォームHackerOneは、2017年のレポートを公開している。これを読んでいくと、ホワイトハットハッカーが報奨金だけで生きていく「賞金稼ぎ」=バグハンターが決して不可能ではないことがわかる。

 HackerOneには16万6000人以上のハッカーが登録をしていて、昨年1年で7万2000件以上の脆弱性が報告された。報奨金総額は2350万ドル(約26億5000万円)になる。

 HackerOneには、ほぼ全世界の国のバグハンターが参加しているが、各国のトップハンターとその国の平均給与を比較した表が掲載されている。これによるとインドのトップハンターが受け取る報奨金は平均給与の16倍、アルゼンチンが15.6倍と非常に高い。このような国は平均給与そのものが国際水準と比べて低めだが、カナダでも2.5倍、米国でも2.4倍と先進国でも決して悪い数字ではない。諸国の平均は2.7倍になるという。

 ただし、これはあくまでもトップハンターの数字。「トップでもその程度なのか」と見るか、「今後、バグバウンティ制度は伸びていくだろうから、じゅうぶん生活できる」と見るかは、難しいところだ。

 参加者のプロフィールを見ると、バグハンター専業という人は少ない。やはりいちばん多いのは、IT企業のエンジニアとして勤めていて、その傍ら、バグバウンティに参加しているというパターンだ。学生も25.2%いる。無職、つまりバグハンター専業という人は、子育てのために仕事をしていない人を含めても、全体の2%強でしかない。

バグハンターの身分の統計。やはりIT系企業に勤めるエンジニアと学生が多い。専業でやっている人(無職)は1.9%。子育てなどのために休職中という人を含めても2%強にすぎない。「The 2018 Hacer Report」(HackerOne)より作成。

 週に何時間、バグハント作業に費やすかを尋ねたところ、70%近い人が20時間以下と答えた。これは1日3時間程度で、それで本業の給与に近い額が得られるのであれば、副業としても決して悪くない。しかし、40時間以上と回答した人も13.1%もいる。40時間以上となると1日6時間以上で、もはや本業に近い。それで、一般的な給与と同額程度であれば、仕事としてはかなり厳しいものになる。

バグハンターの週ごとの作業時間。多くの人が1日2、3時間程度だが、40時間以上という人も13.1%いる。「The 2018 Hacer Report」(HackerOne)より作成。

 それでもバグバウンティに参加するハッカーは増え続けている。バグバウンティに参加する目的を尋ねたところ、1位の回答は「技術を学ぶため」で、以下「挑戦するため」「楽しみのため」と続く。つまり、趣味と実益を兼ねた副業としては、報酬はかなり多めだと考えることもできる。

 昨年のレポートでは「お金を稼ぐため」が1位だったが、今年のレポートでは4位に後退している。ある意味、ハッカー側もバグバウンティに慣れてきたのかもしれない。直接お金を稼ぐよりも、脆弱性を発見することで、自分の仕事に活かしたり、同じバグハンターをしているハッカーと知り合う、企業側の担当者と知り合うことで、本業の選択肢を広げていくことを目的にしている人もいるようだ。「自己顕示のため」という青臭い目的は、下位になっている。

バグハンターがバグバウンティに参加する理由。2017のレポートでは1位だった「お金を稼ぐため」という理由は、今年は4位に後退している。「The 2018 Hacer Report」(HackerOne)より作成。

 一方で、ハッキング先の企業をどうやって選んでいるかについては、1位が「報奨金が多い企業」になる。「お金のためにやっているわけではない」と言っても、やっぱり報奨金が多ければ、それだけやりがいも生まれる。同じやるなら報酬がいいことに越したことはない。

 2位は「挑戦しがいのある企業」、3位は「好きな企業」で、楽しみのためにやっていたり、社会や企業に貢献したいという気持ちがあることが伺える。

バグハンターが脆弱性検出先企業を選ぶ理由。やはり報奨金が多いところが選ばれる。「The 2018 Hacer Report」(HackerOne)より作成。

日本屈指のバグハンター、キヌガワ・マサト

 日本でも、バグハンターとして生活を立てている人がいる。キヌガワ・マサト氏だ。グーグルのバグバウンティに参加をし、数多くの脆弱性を発見し、バグハンター専業で生活を立てているという。ただし、写真NG、本名、年齢などは非公開という謎に包まれた人でもある。

 そのキヌガワ氏が、「バグハンターの哀しみ」というスライドを公開している。これによると、去年(2014年)の収入は、4105万0707円だという。しかし、次のスライドをめくると、(8進数)というオチがつく。8進数だとしても、867万1687円になるので、じゅうぶんに生活をしていくことができる(と言っても、キヌガワ氏は伝説のバグハンターなので、誰もがこのレベルに達することができるわけではない)。

 なお、このスライドの趣旨は、ある企業に脆弱性検出のためにアクセスしたところ、それがサイバー攻撃だと勘違いされて、ネット回線を停止させられた顛末を語っているもので、興味深い内容であり、今後バグバウンティに参加する企業、ホワイトハットハッカーにとって参考になる内容だ。一読をお勧めする。

バグハンターはホワイトハットハッカーの生き方の選択肢のひとつ

 バグハンターは、まさしく賞金稼ぎの世界であり、腕に覚えのない人が飛び込んでも報奨金をまったく稼げないことになるかもしれない。また、企業によっては脆弱性レポートをしてから、それを検証して、報奨金の支給に至るまで数ヵ月かかるところもあるので、バグハンターを始めるには、ある程度の生活資金を用意してからでないと、数ヵ月で詰んでしまうこともあり得る。バグバウンティを行なっている企業は、まだまだ数えるほどでしかない。企業から見れば、低コストでセキュリティ対策ができ、なおかつ広い目での対策ができる。ハッカーコミュニティとも良好な関係が構築できるなどのメリットもあり、今後、急増していくことは間違いないと見ていいだろう。

 学生のうちに、あるいは企業にセキュリティエンジニアとして勤めながら、趣味や副業の感覚で、バグバウンティに参加してみることは、自分のスキルアップにとっても大きな意義があるだろう。それで小遣い稼ぎをしながら、収入が増えてくる見込みが立ったら、バグハンターとして独立することを考えればいいのだ。ホワイトハットハッカーもさまざまな生き方が選べる時代がやってきている。

カテゴリートップへ

この連載の記事

Planetway Story