バグハンター(バグバウンティーハンター)とは
バグハンターとは企業が公開しているアプリケーションやクラウドサービスのバグを発見して報告することで報奨金を得ている人たちのことです。日本ではLINEや任天堂もこのプログラムに参加しており、年収1200万円を超える人たちもいるようでです。
以下はバグ報奨金の流れを表している図になります。左がバグ報奨金を提供している企業が置かれている国、右が報奨金を受け取ったバグハンターが活動している国です。これを見ると、バグ報奨金を提供する企業の多くはアメリカですが、実際に報奨金を受け取ったバグハンターは多くの国に散らばっていることがわかります。
出典:https://www.hackerone.com/resources/reporting/the-4th-hacker-powered-security-report
バグバウンティプラットフォーム
多くの企業はバグバウンティプラットフォームを通してバグバウンティを提供しています。企業側とすればバグが見つかったタイミングで報奨金を支払う成果報酬型のためコスパがいいというメリットがあり、ハンター側からすれば企業が「バグを見つけてください」と意思表示しているので不正アクセスにならず堂々とバグ探しができるというメリットがあります。
バグバウンティプラットフォームには以下があります。HackerOneはバグバウンティプラットフォームとしては有名です。BugCrowdはChatGPTが利用しています。日本のバグバウンティプラットフォームはBugBounty.jpです。
BugCrowd https://www.bugcrowd.com
HackerOne https://www.hackerone.com
Bugbounty.jp https://bugbounty.jp
OpenAIの報奨金額はいくら?
OpenAIはバグバウンティプラットフォームとしてBugCrowdを使用しており、以下のページで公開されています。
このページによると、以下のことがわかります。
- OpenAIのバグ報奨金額は、脆弱性1つあたり200ドル〜6,500ドル
OpenAIが支払う報奨金は200ドル〜6,500ドル、最大で20,000ドルとなっています。
- 報奨金が支払われた脆弱性の数は29
これは2023年4月15日時点の情報です。29もの脆弱性が見つかり、実際に報奨金が支払われています。
- 脆弱性として受理または拒否される平均時間は約14時間
これも2023年4月15日時点の情報です。14時間以内にバグかそうじゃないかを判断してくれるって結構早いですね。
- 平均支払額は694.73ドル
2023年4月15日から過去3か月以内に支払われた報奨金額の平均です。中央値ではないのでどれくらいの金額が多いのかこれだけではわかりませんが、今の日本円のレートに換算すると9万円ちょっとくらいですね。
他にはどんな企業がバグ懸賞金を募集してる?
BugCrowdでは以下のページからプログラムを検索することができます。このページを見ると、GAPや1Password、Pinterestなど有名な企業が登録されているようです。企業によっては報奨金額が記載されていないところもあります。1Passwordは脆弱性1つあたり50ドル〜30,000ドルに設定されており、過去3ヶ月の報奨金支払い平均額は1,525ドルになっています。OpenAIより高いですね。
バグハンターになりたい人の参考URL
バグハンターは年間600万円や1200万円の報奨金を得ている人たちもいるようです。バグハンターになるにはプログラミングやフレームワークの知識だけでなく、ウェブアプリであればHTTPなどのプロトコル、LinuxなどのOSを扱うスキルが重要になります。以下のページで紹介している馬場さんは、HTTPのレスポンスから使用されている言語を推察することができるようです。
https://eh-career.com/engineerhub/entry/2019/08/29/103000
また、以下のページではハッキング入門サイトやバグハンターのためのツールが紹介されています。英語なので読むのが大変ですが、プログラミングをしている人はエラーメッセージなどで日々英語を見慣れていると思いますので、あまり苦にならないかも知れませんね。