バグバウンティは脆弱性対策として注目を集めていますが、特に多額の報奨金を出す企業の話題が先行し、実際のバグバウンティについては正しく伝わっていません。本記事では、実際のバグバウンティ掲載案件を紹介しつつ、バグバウンティの活用についてご紹介できればと思います
有名企業の活用事例から学ぶ「バグバウンティ活用法」
バグバウンティとは、システムの脆弱性を発見したバグハンターに対して報酬を支払う仕組みです。システムに惰弱性があると、悪用されて企業が持つ個人情報が漏洩して信頼を損なう可能性があります。
バグバウンティを上手く活用すれば、システムの脆弱性を早期に発見できます。どのように活用すれば効果的なのか、現在進行中のバグバウンティプログラムからバグバウンティの活用法を学びましょう。
- [Intigritiを例に]バグバウンティプログラムについて理解する
- 有名企業のバグバウンティプログラムを解説
- バグバウンティはどのように活用されているか
- バグバウンティプログラムを効果的に運用する「bugty」
[Intigritiを例に] バグバウンティプログラムについて理解する
Intigritiとはヨーロッパを代表するサイバーセキュリティ企業で、バグバウンティプログラムプラットフォームを運営しています。約4万人のバグハンターと企業を結びつける役割を果たしていて、バグハンターによってシステムの脆弱性を発見してもらう方法で企業の資産やブランドを保護する仕組みです。
Intigritiの基本情報は以下の通りです。
ユーザー数 | 約4万人 |
プログラム数 | 200以上 |
これまでに支払われた報奨金 | 300万ユーロ以上 |
運営会社 | ベルギーAalst |
Intigritiは契約している企業のバグバウンティプログラムを公式サイト上に掲載し、バグハンターは掲載されているプログラムの中から参加したいプログラムを探して参加する流れです。以下の画像のようにプログラムの内容や報奨金が掲載されています。
バグハンターは内容や報奨金を見ながら参加するプログラムを選ぶ仕組みです。中には全体は公開されていないプログラムもあるので、公開されていない場合は参加できません。
バグバウンティプログラムを見つけるには、バグバウンティプラットフォームを利用する方法と企業サイトでバグバウンティプログラムを見つける方法があります。企業のシステムの脆弱性を探すのは、正当な調査でなければ犯罪です。バグバウンティプラットフォームを利用すれば正式な調査を行えるので、バグバウンティ初心者でも安心して参加できます。
参考: Intigriti
有名企業のバグバウンティプログラムを解説
以下では、Intigritiを利用する有名企業を5つ取り上げて、内容を解説します。バグバウンティがどのように活用されているのか、参考にしてみてください。なお、本内容は全て2021年10月時点で掲載されている情報となります。
ブリュッセル航空
ブリュッセル航空は、ブリュッセルを拠点としているベルギーのナショナルキャリアです。ヨーロッパやアフリカに向けて、毎日約300便の運航を行っています。
ブリュッセル航空でバグバウンティの対象となっているのは、以下の内容です。
- 水平特権昇格または垂直特権昇格
- XSS
- RCE
- SQLインジェクション
許可されていない特権をユーザーが取得して不正にアクセスする水平特権昇格または垂直特権昇格や、Webサイトの脆弱性を突いて悪質なサイトへ誘導するスクリプトを仕掛けるXSSを重視。RCEやSQLインジェクションも特に関心がある内容として挙げられていました。航空会社なので、不正アクセスや遠隔操作などを意識した対策が行われています。
報奨金の金額は以下の通りです。
- 例外的:5,000ユーロ
- 致命的:2,500ユーロ
- 高い:1,500ユーロ
- 中くらい:500ユーロ
- 低い:なし
脆弱性の重大度によって、報奨金の金額が変わります。
グローバルサイン
グローバルサインは証明書承認局で、日本のGMOインターネットの子会社です。信頼度の高い電子証明書サービスを提供していて、累計770万枚以上のSSLサーバー証明書を発行した実績を持っています。
グローバルサインでバグバウンティの対象となっているのは、以下の内容です。
- 個人情報や機密情報の開示・変更・破棄
- 水平特権昇格または垂直特権昇格
- バックエンドコードとSQLインジェクション
- コマンドの実行とオペレーティングシステムの制御
- コンテンツの変更と改ざん
グローバルサインは電子証明書サービスを提供している企業なので、個人情報や機密情報が漏洩したり変更や破棄されたりしないように注意しています。システムの制御やコンテンツの内容に関しても注意を払っているのがわかりました。
報奨金の金額は以下の通りです。
- 例外的:2,000ユーロ
- 致命的:1,000ユーロ
- 高い:500ユーロ
- 中くらい:150ユーロ
- 低い:50ユーロ
レッドブル
レッドブルはエナジードリンクメーカーで、独自のマーケティングコンセプトを元に商品を販売しています。
レッドブルは幅広い範囲の脆弱性を対象としていますが、一部Jiraに関連する調査など対象外となる範囲が指定されているのでチェックが必要です。自動スキャナーの使用は認められていません。創造性を発揮して自分で調査するようにと案内されています。自動ツールを使用するとIPをブロックされる可能性があるため、ルールを守らなければいけません。
報酬に関しては、レッドブル独自の報酬システムが導入されています。金銭的な報酬ではなく、報告された調査結果の重大度に基づいてケアパッケージ(レッドブルの飲料)が提供されるルールです。
ランスタッド
ランスタッドは総合人材サービス企業で、正社員や派遣社員などの様々な働き方を提案しています。転職や派遣社員としての就業をサポートする企業です。
ランスタットでは、システムの脆弱性の重大度を以下のように定めています。
重大度 | 内容 |
例外的 | RCE |
致命的 | ・すべての顧客の個人データへのアクセス ・SQLインジェクション |
高い | ・ユーザーの操作なしで保存されたXSS ・特権の昇格 ・重要なインフラストラクチャでの認証バイパス |
中くらい | ・XSS ・大きな影響を与えるCSRF |
ランスタッドは、遠隔で任意のコードを実行するRCEを特に重大な案件と捉えています。顧客の個人データへのアクセスや、データベースに対する攻撃であるSQLインジェクションにも注視しているのがわかりました。総合人材サービス企業として、顧客のデータ管理を特に意識しています。
報奨金の金額は公表していません。
intigriti
Intigritiはバグバウンティプログラムプラットフォームを提供していて、約4万人のバグハンターと企業を結び付ける働きをしている企業です。
バグバウンティプログラムを実施しているIntigriti自身も、全てのソフトウエアにはバグが含まれているという立場のもとで、セキュリティの脆弱性を見つけてもらって報酬を提供する姿勢を取っています。
自動スキャナーの使用は禁止されていて、自動スキャナーによって発見された提出物は受け取ってもらえません。バグの修正が完了する前にバグについての情報を話すことは禁止されています。
報奨金の金額は以下の通りです。
- 例外的:7,500ユーロ
- 致命的:5,000ユーロ
- 高い:2,500ユーロ
- 中くらい:750ユーロ
- 低い:150ユーロ
バグバウンティはどのように活用されているか
先程の5社を例にバグバウンティの活用方法を確認しましょう。
航空会社であるブリュッセル航空は、航空業界において最優先事項である安全を確保する目的でバグバウンティプログラムを行っています。グローバルサインの場合は、ソフトウェアサプライヤやブラウザ・政府などからの信頼が高く犯罪組織のターゲットになりやすい事実があるため、犯罪組織からの攻撃を防ぐのが目的です。
エナジードリンクメーカーのレッドブルは、直接管理できないシステムや技術サービスの脆弱性を、問題が起こる前に発見して対処するためにバウンティを利用しています。ランスタッドは目的を明記していませんが、人材を扱う企業なので個人情報の流出などがあると大問題です。
バグバウンティプラットフォームを提供しているIntigriti自身も、「全てのソフトウェアにはバグが含まれている」という考えのもと、自社で発生する可能性があるセキュリティの脆弱性を特定しようとしています。
このようにバグバウンティは企業の信頼を損なわないように、問題が起こる前に脆弱性を発見して対処するために活用されているのが特徴。
企業も攻撃のターゲットとなるので、自衛しなければなりません。2018年には国内の事業者が提供するファイル共有サービスが不正アクセスを受け、約480万件の顧客情報が漏えいしました。
バグバウンティプログラムを効果的に運用する「bugty」
バグバウンティプログラムを取り入れると自社のシステムの脆弱性を攻撃者目線で発見してもらえるので、問題が起こる前に対処できます。しかしバグバウンティプラットフォームを提供しているのは海外の企業が多く、依頼するハードルが高いのも事実です。
海外サイトを利用したいと思っても、次のような理由で利用ができない場合もあります。
- 外貨払いに対応できない
- 英語でのやり取りが難しい
- 英語で報告されたバグを翻訳できない
- 社内にセキュリティに詳しい担当者がいない
当社が日本で初めて開始したバグバウンティを代行するサービス「Bugty」では、上記の問題をすべて解決いたします。
「bugty」は今回紹介したヨーロッパを代表するサイバーセキュリティ企業である「Intigriti」とパートナー契約を結びました。プログラムの登録やバグハンターとのコミュニケーション、報告された脆弱性のトリアージ、報奨金の支払いまですべてを運用代行いたします。
外貨払いに対応できなくても、請求書払いや円建てでご利用いただけます。英語によるコミュニケーションも代行可能ですので、英語が不安な場合にもぜひご依頼ください。「bugty」には英語でのコミュニケーションを得意とするセキュリティエンジニアが在籍しているので、専門性を生かした対応もすべてお任せいただけます。
自社のサービスの脆弱性やバグを多方面から調査したいとお考えの企業様は、一度お問い合わせください。
東京在住のソフトウェア開発者、Motouchi Shuyaです。
システムの開発・運用・最適化が好きです。