バグバウンティハンター
バグバウンティハンター とは何ですか?
バグバウンティハンターバグバウンティや協調的開示プログラムを通じてベンダーへ脆弱性を報告し、金銭的報酬と評価を得る独立系セキュリティリサーチャー。
バグバウンティハンターは、スコープが明示された対象で脆弱性を発見し、HackerOne・Bugcrowd・Intigriti・YesWeHack やベンダー独自のバグバウンティ/協調的開示窓口を通じて報告する独立系リサーチャーです。報酬は件数ベースで高深刻度に大きく偏り、トップリサーチャーは年間 6〜7 桁ドル規模の報酬と、Live Hacking イベントの賞金を得ます。フルタイムのフリーランス、または攻撃的セキュリティ職と兼業で活動する人が多く、企業のペンテスターやベンダー AppSec へキャリアを広げる例も多数あります。決まったキャリアパスはなく、有効な報告・CVE 取得・ライトアップの公開で評判を積み上げます。スコープと法的 safe harbor の厳守、重複排除、報告品質が継続収入の鍵です。
● 例
- 01
HackerOne を通じて SaaS API の SSRF を報告し、25,000 ドルの報酬を得る。
- 02
大手モバイルアプリのチェーン化された RCE で Live Hacking イベントを優勝する。
● よくある質問
バグバウンティハンター とは何ですか?
バグバウンティや協調的開示プログラムを通じてベンダーへ脆弱性を報告し、金銭的報酬と評価を得る独立系セキュリティリサーチャー。 サイバーセキュリティの 役割とキャリア カテゴリに属します。
バグバウンティハンター とはどういう意味ですか?
バグバウンティや協調的開示プログラムを通じてベンダーへ脆弱性を報告し、金銭的報酬と評価を得る独立系セキュリティリサーチャー。
バグバウンティハンター はどのように機能しますか?
バグバウンティハンターは、スコープが明示された対象で脆弱性を発見し、HackerOne・Bugcrowd・Intigriti・YesWeHack やベンダー独自のバグバウンティ/協調的開示窓口を通じて報告する独立系リサーチャーです。報酬は件数ベースで高深刻度に大きく偏り、トップリサーチャーは年間 6〜7 桁ドル規模の報酬と、Live Hacking イベントの賞金を得ます。フルタイムのフリーランス、または攻撃的セキュリティ職と兼業で活動する人が多く、企業のペンテスターやベンダー AppSec へキャリアを広げる例も多数あります。決まったキャリアパスはなく、有効な報告・CVE 取得・ライトアップの公開で評判を積み上げます。スコープと法的 safe harbor の厳守、重複排除、報告品質が継続収入の鍵です。
バグバウンティハンター からどのように防御しますか?
バグバウンティハンター に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
バグバウンティハンター の別名は何ですか?
一般的な別名: バグハンター, セキュリティバウンティハンター。
● 関連用語
- roles№ 812
ペネトレーションテスター
許可を得た上で、システム・アプリ・人を対象に現実的な攻撃を模擬し、攻撃者より先に悪用可能な弱点を見つけ出す攻撃的セキュリティ専門職。
- defense-ops№ 813
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- vulnerabilities№ 1216
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
- vulnerabilities№ 261
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
- compliance№ 781
OWASP Top 10
OWASP が発行する啓発文書で、Web アプリケーションにとって最も重要なセキュリティリスクを実データに基づいて定期的に更新したもの。
● 関連項目
- № 134Burp Suite
- № 133バグバウンティプログラム