BugBounty.jpの紹介

脆弱性"&'<<>\ Advent Calendar 2016の25日目の記事です。

https://bugbounty.jp/

脆弱性が金に変わる。すばらしい。

BugBounty.jpとは

スプラウト株式会社が運営する日本のバグ報奨金プラットフォーム。 海外だとHackerOneが有名。 プラットフォームなので、脆弱性を探される会社側は自分で報告フォームなどを用意する必要が無いし、探す側はどこの会社でも同じように報告できて楽。

報奨金をもらうまでの流れ

簡単。面倒な作業は無い。

ユーザー登録をして、

f:id:kusano_k:20161225181704p:plain:w480

募集中のプログラムの中から脆弱性を探す。 プログラムによって、対象となるドメインなどが決まっている。 見つけたら報告。 書くのは、名称(たぶん何でも良い)、種類、URL、内容だけ。 IPAに報告するよりも項目が少ない。

f:id:kusano_k:20161225181851p:plain:w480

脆弱性として認定されると、支払い情報が登録していない場合は「登録しろ」と言われるので、登録。海外の銀行口座でもpaypalでも良いらしい。

f:id:kusano_k:20161225182137p:plain:w480

あとは待っていれば、認定された翌月の末に口座に報奨金が振り込まれる?

利点

日本製ということ。

ユーザー登録から報奨金の受け取りまで、日本語だけで完結する。 脆弱性の報告も日本語でOK。

英語は得意な人ならば問題無いのだろうけど、海外からの金が振り込まれると銀行に手数料が取られる。 BugBounty.jpならば国内送金なのでその心配も無い。

Chrome Toolboxの脆弱性を見つけてGoogleから1000ドルもらった - kusano_kの日記

海外の人たちにあまり目を付けられていないので、ライバルが少ないというのも脆弱性を探す側にとってはメリット。 世界中の脆弱性を探す人たちに突っつかれまくったらとても残っていないような簡単な脆弱性があっさり見つかることもある。 BugBounty.jpは英語にも対応していて、海外のハッカーも参加することをアピールしているし、ランキングを見ると半分くらいは海外の人だけど。

欠点

参加している会社が少ない。増えてくれ?

修正完了後も脆弱性の内容を口外できない。 脆弱性"&'<<>\ Advent Calendarにあるような、「こんな脆弱性を報告して報奨金をもらった」という記事を書くことができない。

自分で発見したバグは自由に公開していいですか? 当サイトを通じて報告された情報の開示は一切禁止しております。詳しくは利用規約をご確認ください。

https://bugbounty.jp/faq

修正後に話題にしたいような面白い脆弱性だったら、BugBounty.jpを通さずに報告した方が良いのかもしれない(私は金に目がくらんでいるので、そうしたことはないけど)。 修正完了後か、修正完了後一定期間が経過したら、開示できるようにしほしいけれど、そうすると参加しようという企業が減ってしまうのかもしれない。

税金

報奨金の源泉徴収などはされないので、自分で税金を払う必要がある。 たぶん、一時所得かなぁ。 1年間で50万円を超えると課税対象。 20万円を超えたら、新たに税金が発生しなくても、確定申告が必要? 間違っていてマルサが来ても知りません。

探すコツ

そこまでしっかりしたサイトばかりというわけではないので、入力値をちょこちょこ弄っているだけで見つかることもある。

報奨金をもらえるのは最初に見つけた人だけなので、速さが重要。 発見された脆弱性がすぐに修正されるとは限らないので、せっかく見つけた脆弱性を報告してみたら、すでに他の人が報告していたということもありえる。 また、募集期間終了前でも、報告が多いと受付が一旦停止されることがある。 今はNETSEAがその状態。募集開始後2日で停止した。

2016/12/08 一時レポートの受付を停止いたします。 現在までに報告されたレポートについて精査が終了し次第、再開いたします。

https://bugbounty.jp/program/78b209154a40aa8b7d472836

ライバルが増えるのであまり言いたくないが、Twitter@BugBounty_jpをフォローするのがオススメ。 新たに募集を開始した会社があるとツイートされる。

そもそも脆弱性が無いサイトの脆弱性をいくら探しても無駄。 サイトによってセキュアさが異なるはずなので、「このサイトは作りが甘いな」と感じたら、そこをしつこく探すのが良いと思う。