今の社会生活はテクノロジーなしには考えられません。それはとりもなおさず、テクノロジーを活用する下地にあるハードウェアとソフトウェアが狂いなく動作してくれることが前提になって社会が成り立っているということです。
そんな現代社会を裏方から支える職業として、バグハンターという人々が存在感を増しています。本記事ではバグハンターとは何かについての解説、さらにバグハンターの「入門ツール」の紹介、そしてバグハンターが直面する大きな課題について見ていきます。
バグハンターとは
バグハンターとは、ソフトウェアの不具合が大問題を起こすことを防ぐため、企業内部の人間に代わってバグを発見し報告する人々のことを指します。
テクノロジー社会の日常生活はコンピューターシステムが土台になっていますが、不具合が全くないシステムというのはありえません。例えば今年2018年の6月にはフェイスブックのソフトウェア不具合により、約1400万人のユーザーの設定に変更が加えられたという事件が起こりました。
このようにソフトウェア開発に多額の投資を行っている大手テクノロジー企業でさえ、不具合の可能性は排除しきれないのです。
ソフトウェアの不具合が多くの人に影響を与える前にいち早く発見して修正することは、企業の利益だけでなく社会生活の安定を保つことにもつながる重要なことです。人手の問題で企業だけでは対応できないそのタスクは現在、バグハンターと呼ばれる大勢の個人が担っているのです。
企業の側にも彼らの存在は周知されています。バグの報告に対して報奨金を支払う「バグ・バウンティー・プログラム」を開催している企業は大手を含めて数多く存在し、バグハンターはそうしたプログラムを収入源としています。
バグを発見する手法にはソフトウェアのハッキングに近い操作も含まれるため、彼らは社会の役に立つハッカー、いわゆるホワイトハッカーに含まれます。
バグハンターは個人がフリーランスとして行っているものが大半。今では企業からのバグ・バウンティー・プログラムの情報を取りまとめたり、報奨金支払い処理の肩代わりを行うクラウドソーシングサイトも存在するなど、すでに業界としてかなり洗練されています。
このように、なんとなく未来っぽい仕事のバグハンター。気になるのは収入ですが、どれほどのものでしょうか?
バグハンター用クラウドソーシングサイトのハッカーワンからは気になる年収データが公表されています。それによると年に2万ドル以上稼ぐユーザーが12%、年に10万ドル以上稼ぐユーザーは3%に上るとのこと。ハードルは高いのでしょうが、腕が立つならかなりの収入を得ることが可能なようです。
バグハンターの定番ツール
大金を得るには多大な努力と勉強が必要なのはバグハンターも変わらないもの。とはいえ参入のハードルまで高いわけではありません。
事実として、プログラミングの素人から独学でバグハンターになった事例もあります。バグハンターとして活動を始めるだけなら、プログラムの専門知識や学位は必須ではないのです。
海外のブログでは、バグハンターの基本セットとして鉄板の書籍やツールがあちこちで紹介されています。以下にそうしたツールをまとめてみました。
書籍
The Web Application Hacker’s Handbook
(出典: Amazon)
バグハンターのバイブルとまで呼ばれる一冊。どんなブログでも必ず紹介されている必読書です。
Web Hacking 101
(出典: Leanpub)
ウェブサイトを倫理的にハッキングする手法にフォーカスを当てた一冊。30の事例をもとに解説されています。
OWASP Testing Guide
(出典: Lulu.com)
ウェブアプリケーションの保護のため、誰でも脆弱性の診断ができるツールを公開しているOWASP財団による脆弱性テストのガイド。第3版は日本語版が公開されています。
ツール
BurpSuite
Webサーバーとブラウザ間の通信内容を確認し、必要であればブラウザからのリクエスト内容を変更した上でWebサーバーへリクエストができる有料ツール。こちらで詳しく解説されています。
OWASP Zed Attack Proxy
上記のOWASP財団が開発した、ウェブアプリの脆弱性を診断するためのツール。オープンソース開発なのでこちらは無料で利用可能です。こちらで詳しく解説されています。
クラウドソーシングサイト
バグ・バウンティー・プログラムは個別の企業が主導するものですが、最近ではクラウドソーシングサイトに各企業のプログラムが集約されるようになりました。企業はハンターを集めやすくなり、ハンター側にとってもプログラムを探しやすくなるだけでなく、支払い手続きもサイト側が代行してくれる場合もあります。
Bugcrowd
(出典: Bugcrowd)
Cobalt
(出典: Cobalt)
HackerOne
(出典: Brighttalk)
バグハンターの課題
バグハンターの本質は、ソフトウェアを開発した企業でさえ気づいていない不具合をいち早く見つけ出し、ユーザーが不利益を被ることを未然に防ぐこと。これはあらゆるホワイトハッカーにも言えることです。
これは全員の利益になることですが、それは長期的に見た話。企業にとっては製品の欠陥が公にされるというわけで、ごく短期的に考えればマイナスであるとも考えられます。
バグハンターにとってこれまでどんなバグを発見したかを公表することは非常に重要。ちょうどソフトウェア開発者がこれまでどんなソフトウェアやサービスを開発したかでその能力を測られるのと同じ。バグハンターが自分の能力を証明するためにはこれまでにどんなバグを発見したかを公に発表することが重要ですが、それをよしとしない企業との軋轢が問題になっています。
そうした摩擦は2017年に起きたDJIの件に顕著に表れています。
2017年、ドローン開発会社のDJIは、自社でバグ・バウンティー・プログラムを展開。バグハンターにソフトウェアのバグ発見を依頼しました。
その後、あるハンターが重要なバグを発見してDJIに報告。彼はこれで3万ドルの報奨金が受け取れるはずでした。
ところがDJIのプログラムには、発見したバグの内容を公表しないという条件がつけられています。その条件だと3万ドルは手に入りますが、この案件を自分の功績として公表することができません。
最終的にこのハンターは手柄の公表を金銭よりも優先し、プログラムの一環として報告するのではなく独自に発見したバグとして公表することを決定しました。3万ドルをあきらめてでも、自分の技術を証明することに役立てることを選んだのです。
するとDJIは手のひらを返し、彼を自社サーバーに侵入してデータを盗み公表したハッカーだとして非難し始めたのです。同時にバグ・バウンティー・プログラムも閉鎖されました。
バグを発見したことで訴訟沙汰になったケースもあります。
2018年、パスワード管理ソフトのKeeperに脆弱性があるというニュースが発表されました。発表時点でその脆弱性は解消されており、そのこともあって発表されたのですが、Keeper側はこれを事実無根の内容であるとして、執筆者を名誉毀損で訴えました。
このように訴訟のリスクがつきまとってしまえば、バグハンターのみならずホワイトハッカーによる活動は萎縮してしまいます。これを防ぐため、バグ・バウンティー・プログラムにはバグを発見したハッカーを提訴しないという保護措置条項が盛り込まれている場合がほとんど。先述のDJIのプログラムにはそもそもこれが記載されていなかったという話もあり、バグハンター業界は制度をしっかり整備する必要に迫られています。
まとめ
このように、ただバグを発見するだけがバグハンターではないのです。それはある意味、人々の暮らしを守るための活動でもあります。
ある意味で、金銭以上に名誉が得られる仕事だと言っても過言ではないのかもしれません。それだけにその仕事がより報われ、人々の役に立つように、その意義の周知と制度の整備が求められているのです。