ちっともかわいくなかった、セキュリティ界の「POODLE」：セキュリティクラスター まとめのまとめ 2014年10月版（3/3 ページ）

バグハンターってどうなのよ？

　2013年からmixiで脆弱性を発見した人に対して報奨金が出たり、（すでに終了してますが）サイボウズが脆弱性報奨金制度を始めたりと、脆弱性報告やバグハンティングが国内でも少しずつ認知されつつあるようです。

　そんな中、2014年10月30日の読売新聞に「求むバグ・ハンター　プログラム欠陥発見人」という記事が掲載されます。それをきっかけにセキュリティホールを発見して報告することや、それを報告する人についてのツイートが多く上がりました。バグ報告と犯罪との切り分けが難しかったり、バグを公表することが会社の悪評につながるなど、バグ・ハンターとして生きるのは簡単ではないようです。

　仕事として脆弱性検査を行っている人による、バグハンターと脆弱性検査の違いについてのツイートもありました。検査は期限があるので全て完璧に検査できるとは限らないようですね。

　これに関連し、バグ報告の報奨金制度の先駆けとして、2001年から現在のMozillaの前身であるNetscapeが報奨金制度をスタートしたのですが、その最初期にバグ報告を行って1000ドルの報奨金をもらった話を@TakagiHiromitsuさんがツイートしていました。懐かしく思った人も多かったのではないでしょうか。

　この他にも、2014年10月のセキュリティクラスターはこのような話題で盛り上がっていました。11月はどのようなことが起きるのでしょうね。

• Shellshockショック引き続き尾を引く
• Dropbox、大量のユーザー名とパスワードが流出する
• OpenSSLにまた大きな脆弱性！？ 実はガセでした
• wgetにも脆弱性。任意のローカルファイルが操作される
• 「運用でカバー」ってどうなの？
• phpカンファレンスで徳丸さんと大垣さんの対談セッション大盛り上がり
• HTML5がついにW3Cの勧告として公開される