バグ報奨金

バグ報奨金プログラム は、企業が脆弱性を発見し、責任を持って開示したセキュリティ研究者に報酬を支払う構造化された取り決めです。このモデルは 1995 年に Netscape から登場しましたが、Facebook、Google、Microsoft が主要なプログラムを立ち上げた 2010 ～ 2013 年頃に主流になりました。現在、直接、または HackerOne、Bugcrowd、Intigriti、Synack などのプラットフォームを通じて運営されています。

バグ報奨金の仕組み

1. 同社は ポリシーを公開しています: どのシステムが対象範囲内で、どのシステムが対象外なのか、どのような種類のバグが対象となり、何が報われ、いくらなのか
2. 研究者関与規則内で範囲内のシステムをテストします (DoS なし、スタッフのソーシャル エンジニアリングなし、ユーザー データの実際の悪用なし)。
3. 脆弱性を発見すると、概念実証と修復の提案を含む詳細なレポートを作成します。
4. 会社のセキュリティ チームが検証し、トリアージし、説明を求めます。
5. 有効な場合、バグは以下に従って支払われます。深刻さ。重大なバグは最大の報酬を受け取ります。情報発見には感謝またはトークンの報酬が得られます。
6. 会社はバグを修正しました。研究者と企業は、修正の展開後に最終的に詳細を公開する可能性があります。

支払い範囲

2026 年の典型的な範囲:

• 低重大度 — 100 ～ 1,000 ドル (影響の少ないデータ、アカウントなしのマイナー XSS の情報開示)妥協)
• Medium — 1,000 ～ 5,000 ドル (保存型 XSS、重要なアクションの CSRF、データ公開が制限された IDOR)
• High — 5,000 ～ 25,000 ドル (SQL インジェクション、アカウント乗っ取り、広範な IDOR、内部ネットワークを使用したサーバー側リクエスト フォージェリ)アクセス)
• Critical — 25,000 ～ 200,000 ドル以上 (リモート コード実行、大量データの公開、管理者への権限昇格)
• Mega-bounty — 250,000 ドル以上 (Apple、Microsoft、 Google)

Apple のセキュリティ調査プログラムは、フルチェーン iOS エクスプロイトに対して 100 万ドルを超える単一の報奨金を支払いました。 Google の脆弱性報奨金プログラムでは、累計で数百万ドルが支払われています。 Pwn2Own は、特定のエクスプロイトのライブ デモンストレーションに 250,000 ドル以上を提供します。

大規模プラットフォーム

• HackerOne - プログラム数で最大。米国国防総省 (「Hack the Pentagon」)、GitHub、Goldman Sachs、Shopify などのプログラムをホストしています。
• Bugcrowd — 主要な競合他社。金融サービスと政府に強い。
• Intigriti — ヨーロッパに焦点を当て、主要な EU 企業で有名。
• Synack — 招待制の研究者、プレミアム クライアント ベース。
• Zero Day Initiative — 研究者から脆弱性を購入し、ベンダーに報告します。 Pwn2Own を運用します。
• 自己ホスト型 — Apple、Microsoft、Google、Facebook、Amazon、その他は独自のプログラムを直接実行します。

経済

企業にとって、発見された脆弱性ごとのバグ報奨金は、内部侵入テストよりも大幅に安価です。重要な発見に対して支払われる 5,000 ドルは、侵害のコストよりもはるかに低いです。報奨金は、多様なスキルを持つ研究者の世界的なプールも利用します。

研究者にとって、バグ報奨金はキャリアになる可能性があります。トップの研究者は、年間 6 桁または 7 桁の高い収入を得ています。多くは独立した研究者としてフルタイムで働いています。

供給側の競争が重要です。多くのバグ賞金稼ぎは熟練していますが、同じバグを奪い合います。 「重複」レポート — 他の人が最初に同じバグを報告した場合 — は何も得られません。

脆弱性開示規範

バグ報奨金プログラムは、調整された開示の下で運用されます。バグは、ベンダーが修正するための十分な時間がかかるまで非公開のままです。ほとんどのプログラムでは、修正後または 90 日後に公開が許可されます。許可なく早期に公開した研究者は報奨金を剥奪され、評判が損なわれる可能性があります。

Pwn2Own コンテストと同様のイベントには異なるモデルがあります。研究者はエクスプロイトをライブでデモンストレーションし、カンファレンスから報酬を受け取り、脆弱性は調整されたタイムラインでベンダーに公開されます。

グレー マーケットとゼロデイ ブローカー

バグ報奨金は、攻撃的使用のためにゼロデイを購入する脆弱性ブローカーの並行エコシステム (Zerodium、Crowdfense、NSO グループの研究部門、政府による買収) と競合します。これらの購入者は、正規のバグ報奨金よりも大幅に高額の報奨金を支払っています。Zerodium は、iOS エクスプロイトに対して 200 万～250 万ドルを支払っているのに対し、Apple は同様のバグに対して約 100 万ドルの報奨金を支払っています。

倫理的な決定は研究者にあります。グレーマーケットの購入者に販売する研究者は、このエクスプロイトが実際のターゲット、場合によってはジャーナリストや活動家に対して使用されることを知っています。正当な報奨金パスは支払額は少なくなりますが、確実にバグが修正されます。

一般的なバグ報奨金の調査結果

• 認証バイパス / IDOR — API 呼び出しで ID を操作することにより他のユーザーに属するデータにアクセス
• SSRF — サーバーに内部リクエストを行うよう説得するインフラストラクチャ
• ストアドXSS — 他のユーザーのブラウザで実行されるJavaScriptの挿入
• SQLインジェクション — 特に古いアプリやAPIで依然として見られる
• 認証の弱点 — 弱いパスワードのリセット、トークンの再利用、MFAバイパス
• クラウドの構成ミス — 公開されたS3バケット、パブリックLambdaエンドポイント、保護されていないKubernetes API
• 競合状態 — 同時操作を悪用してチェックをバイパス
• ビジネスロジックの欠陥 — の欠陥標準の脆弱性カテゴリに適合しないトランザクション フロー

バグ報奨金に参加する方法

• Web の基礎を学ぶ - HTTP、ブラウザ、一般的なアプリケーション アーキテクチャ
• 意図的に脆弱なプラットフォームでの実践 - Hack The Box、TryHackMe、PortSwigger Web Security Academy
• 一般公開を読むレポート — HackerOne と Bugcrowd が学習リソースとして公開レポートを公開
• 初心者を明示的に歓迎する公開プログラムから始める
• 上達するまで特定のバグクラスに集中する
• 忍耐力 — 最初の数か月は有効な発見がほとんど、またはまったく見つからない可能性があります

参入障壁が低い（無料プラットフォーム、無料学習リソース）しかし、効果を発揮するには多大な時間投資が必要です。コミュニティは協力的です。競争は本物です。