図●スプラウトが提供予定のハッカーと企業を結ぶマッチングプラットフォーム「THE ZERO/ONE - Bug Bounty」(画面は開発中のもの)
図●スプラウトが提供予定のハッカーと企業を結ぶマッチングプラットフォーム「THE ZERO/ONE - Bug Bounty」(画面は開発中のもの)
(出所:スプラウト)
[画像のクリックで拡大表示]

 セキュリティ企業のスプラウトは2015年11月下旬をめどに、ハッカーと企業を結ぶクラウドソーシング事業「THE ZERO/ONE - Bug Bounty(以下、バグバウンティ)」を開始する()。Webサービスやアプリケーションの脆弱性を発見したい企業と、善意のハッカーをマッチングする。ハッカーが脆弱性を発見した場合、企業が指定した報奨金が支払われる仕組み。

 米国では脆弱性情報の公開とハッカーへの報奨金支払いプログラムを提供する米ハッカー・ワン(HackerOne)が急成長を続けており、同社のプラットフォームには米ヤフー、米アドビシステムズ、米ドロップボックス、米ツイッターなどが参加している。国内で同様のサービスは珍しい。

 バグバウンティは日本語と英語に対応し、海外ハッカーの参加も募る。対象となる脆弱性は「SQLインジェクション」「クロスサイト・スクリプティング」「クロスサイト・リクエスト・フォージェリ」など。企業はバグバウンティに調査対象の範囲や調査方法の規定、報奨金額の基準や総額などを掲載する。脆弱性の発見は先着順。ハッカーは脆弱性を発見した場合、指定された報奨金を受け取れる。

 企業の参加に初期費用は不要で、報奨金の設定は5000円から。企業が自由に設定できる。SQLインジェクションによる個人情報閲覧が可能になっている脆弱性の発見で20万円~、クロスサイト・スクリプティングによりセッションハイジャックやスクリプト実行が可能になっている脆弱性の発見で5万円~など、スプラウトはサービス開始に合わせて目安となる報奨金の設定を公開する。

 ハッカーによって発見された脆弱性を企業が受けつけた日の翌月末にスプラウトがハッカーに報奨金を支払い、25%の手数料を加算した金額を翌々月末締め切りで企業に請求する。

 スプラウトは2015年1月にメッセンジャーアプリ「LINE」の脆弱性をIPA(独立行政法人情報処理推進機構)に指摘したことで知られている。