トップ・バグハンターはソフトウェア開発者の平均給与の2.7倍稼いでいる

『Help Net Security』

January 26, 2018 08:00
by 『Help Net Security』

バグ報奨金プラットフォームのHackerOneは、100ヵ国に存在するバグバウンティハッカー(バグ報奨金ハンター)約2000人の地理的分布、人口統計、経験や利用ツール、そして動機について調査した報告書「2018 Hacker Report」を発表した。

バグハンターは週に何時間ぐらいをハッキングに費やしているのか?

HackerOneの調査では、「トップレベルの倫理的ハッカー(ethical hacker)」の報酬が、各国のソフトウェアエンジニアの平均給与の2.7倍(平均値)になることが明らかとなった。またインドのハッカーに至っては平均で16倍を稼いでいる。しかし今回の新しいデータによれば、ハッカー全体における動機の「金銭的利益」の優先順位は2016年以降、「最優先」から「4番目」まで下がっている。

倫理的ハッキングはメインストリームに

倫理的ハッキングはますますメインストリームとして認識されるようになってきたが、それでも克服しなければならないハードルはまだ存在している。Forbes Global 2000に選ばれた企業(世界の公開企業上位2000社)の94%は、脆弱性開示のポリシーを公表していない。そのため4人に1人ちかくのハッカーは、発見した脆弱性を「受け付ける窓口がない」という理由で報告しない。しかし同時に72%のハッカーは、「企業が脆弱性の情報を(以前よりも)取り入れはじめている」とも報告した。

「ハッカーたちは我々みんなのために毎日、インターネットをより安全なものにするべく、企業や政府機関に何千件もの脆弱性を報告している」と、HackerOneのCEO、Marten Mickosは述べた。「我々は、このレポートに示されている彼ら一人一人のスキルの高さ、情熱、そして高潔さに圧倒されている。倫理的ハッカーのコミュニティの活動は、セキュリティ侵害のリスクを大幅に軽減するものだ」

主な調査結果

調査対象となったハッカーたちの4分の1は年収の50%以上を報奨金が占めており、14%のハッカーは年収の90%から100%を報奨金が占めていると回答した。またHackerOneのハッカーの約12%はバグ報酬金制度で年間2万ドル以上を稼いでおり、3%超が年間10万ドル以上、そして1%は年間35万ドル以上を稼いでいる。

HackerOneで成功したバグバウンティハッカーの90%以上は35歳未満で、HackerOneのハッカー全体の45%は18歳から24歳である。そしてハッカーの37%は「時間のあるときに趣味としてハッキングを行っている」と答えた。

ハッキングに利用するツールは何か?

単独行動と周囲からの学び

ハッカーの約3分の1(30.6%)は単独で働くことを好んでいるが、31.3%は他のハッカーのブログや公開された脆弱性情報を読み、そこから学びたいと考えている。またハッカーの13%は他のハッカーと働くこともあり、9%は定期的に他のハッカーと働いている。そして8.7%のハッカーは他のハッカーのメンター/メンティの役割をしており(指導する/指導される関係にあり)、7.1%はチームの一員として、少なくとも1件のバグレポートを他のハッカーと共に提出している。

倫理的ハッカーになるなら、いまが格好のときだ。ゼネラルモーターズ、GitHub、ルフトハンザ、任天堂、Spotify、スターバックス、米国防総省、そのほかにも1000を超える組織が、セキュリティの脆弱性を素早く発見し、それを修正するために世界中のハッカーコミュニティと協働している。
 
翻訳:編集部
原文:Is ethical hacking more lucrative than software engineering?
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データはHelp Net Securityが公開した当時のものです。

THE ZERO/ONE編集部より

バク報奨金サービスのHackerOneは、これまで約16万6000人のハッカーが登録し、認められた脆弱性は7200以上、支払われた報奨金は2350万ドル(約25.9億円)と、その規模は膨大だ。Help Net Securityの記事にリンクをされていないが、このHackerOneのレポートはここからダウンロード可能だ(氏名やメールアドレスの登録は必要)。このレポートは1698人から回答を得ており、大変興味深いレポートとなっている。

この記事ではレポートのポイントをおさえている。しかし、
「今回の新しいデータによれば、ハッカー全体における動機の「金銭的利益」の優先順位は2016年以降、「最優先」から「4番目」まで低下している」
の部分は、編集部も含めて読者のみなさんも気になるところだろう。元のレポートを見てみると、ハッカーたちが脆弱性を探す際の理由は、以下のような順位になっている。
 
1位 ハッキングのテクニックとヒントを学ぶため(14.7%)
2位 ハッキングに挑戦したい(14%)
2位 ハッキングを楽しむため(14%)
4位 金銭的利益のため(13.1%)
5位 キャリア形成のため(12.2%)

このように「金銭目的」の動機は4位になっている。しかし、別項目の質問にある「ハッカーたちが脆弱性調査の診断先に選ぶ会社の理由は何か?」に対しては「報奨金額」が1位となっているのは面白い。モチベーションとしてお金は重視しないけど、診断先を選ぶときの基準は報奨金額……というのが、いちばん多いバグハンターの姿なのかもしれない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…