連載
» 2014年08月29日 18時00分 UPDATE

その覚悟はあるか:「職業:バグハンター」にオレはなる? DEF CON 22レポート (1/3)

2014年8月7〜10日、米国ラスベガスで開催された「DEF CON 22」で、バグハンターとして生きる方法や、最近のバウンティプログラム事情について、いくつか講演が行われた。その様子をレポートする。

[谷崎朋子,@IT]

初のバウンティプログラムはNetscape

 「レッドチーム(攻撃)とブルーチーム(防御)、どちらを選ぶかと聞かれたら、多くの人がレッドチームを選ぶだろう。知識と腕を武器に戦う姿はかっこいいし、IT技術からソーシャルエンジニアリングまで、知的好奇心を刺激する学習の機会が多く得られる。しかも、報酬が大きい。企業雇用のペンテスターなどと同列に語られることもあるが、業務時間外や週末にわざわざ出社してテストしたり、価値ある業務であることを証明するだけのために長文のレポートを作成したり、思い付く限り、苦労と辛さしかない」。

 Risk Based Securityのジェイク・クーンズ氏は、講演「Screw becoming a Pentester - When I grow up I want to be a Bug Bounty」(ペンテスターなんてクソくらえ - オレ、大きくなったらバグバウンティになるんだ)の冒頭でこう笑う。

defcon2014_01.jpg Risk Based Securityのジェイク・クーンズ氏

 実際、最近は脆弱性を発見、報告した場合、内容に見合った報酬を与えるバウンティプログラムが増えている。

 米国初のバウンティプログラムは、1995年、Webブラウザー開発会社のNetscapeが実施した。目的はベータ版の改善と品質向上で、多くの人がテストに参加。報酬は、Netscapeのロゴ入りマグカップとTシャツだった。

 その後、2002年にはiDefense(2005年に米ベリサインが買収したセキュリティ研究機関)が脆弱性貢献プログラムを実施し、2004年にはNetscapeからスピンアウトしたMozilla Foundationが、深刻なバグに対して500ドル支払う報奨金プログラムを実施。バウンティプログラムは少しずつ広まっていった。

 そして2007年、CanSecWestセキュリティカンファレンスで、「Pwn2Own」と呼ばれるハッキングコンテストが開催された。内容は、会場の無線LAN環境に接続された2台のMacBook Proをハッキングし、成功した人はそのPCを持ち帰ってもよいというものだ。最終的には、Zero Day Initiative(ZDI)経由で1万ドルの報奨金が支払われた。

 そんな中、2009年の同カンファレンスで「セキュリティバグを発見した場合は報奨金を支払うべき」と提案する発表が行われ、「影響は定かではないが、少なくともバグハンターの間で報奨金への期待が高まったのは事実。このあたりから賞金に期待される額は一気にはね上がった」と、現役バグハンターでRisk Based Securityのカルステン・エイラム氏は述べる。

 「実際、バグハンターを職業にするなら、狙うは間違いなく報奨金だ」(エイラム氏)。

defcon2014_02.jpg 現役バグハンターのカルステン・エイラム氏
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。