バグバウンティにおけるBug Bounty Hunterの実態調査まとめ - blog of morioka12

blog of morioka12

morioka12のブログ (Security Blog)

バグバウンティにおけるBug Bounty Hunterの実態調査まとめ

1. 始めに

こんにちは、morioka12 です。

本稿では、HackerOne などのバグバウンティプラットフォームで脆弱性を探す Bug Bounty Hunter (Ethical Hacker)についての調査結果を簡単にまとめて紹介します。

なお、本稿では、バグバウンティで脆弱性を探す人を統一して「Hunter」と称します。


2. Hunter

目的

Hunter がバグバウンティで脆弱性を探す目的(動機)としては、68%の Hunter が「挑戦するため (To be challenged)」とわかります。

その次に、「お金稼ぎのため」「知見やテクニックの学びのため」「楽しむため」「キャリアアップのため」が該当しています。

また、他の調査レポートでも「学びのため」や「お金稼ぎのため」が多く占めていることがわかります。

個人的にもバグバウンティに取り組む理由としては、リアルワールドの脆弱性を探す実力試しとして「To be challenged」だったり、新しく得たテクニックを実際に試す場だったりします。


年齢

HackerOne に登録しているほとんどの Hunter が「35歳以下」で、特に一番多い42%の Hunter が「18~24歳」とわかります。

その次に、「25~34歳」「35~49歳」と比較的に若い層の方が取り組んでいる傾向があるとわかります。

また、新しい他の調査レポートでは、25歳以下の Hunter が55%を占めているデータもありました。

Hacking remains a popular pursuit for Generation Z, with 55% of the community under 25 years old.

個人的にも確かに X (Twitter)などで観測する海外の Hunter は20歳前後の年齢が多いと感じていて、自分も同世代として頑張りたいと常々感じていました。


形態

Hunter の職種としては、59%が「趣味(副業)」で別に本業があり、27%が「学生」で取り組んでいることがわかります。

また、他の調査レポートでも「アルバイト・副業」として取り組んでいる方が多く、32%が学生で、一部のプロは「本職(Full time)」として取り組んでいることもわかります。

More than half (54%) of the community are in full-time employment elsewhere and 32% are students.


バグバウンティ歴

バグバウンティの取り組み始めてからの歴としては、30%の Hunter が「1~2年」で一番多いことがわかります。

また、53%が3年以上取り組んでいて、47%が2年以下の期間で取り組んでいることもわかります。


学習

Hunter がどのように脆弱性を探す学習をしているかは、43%の Hunter が「独学(Taught myself)」とわかります。


3. Bounty

報酬金

HackerOne の調査より、大半の Hunter は年間で $20,000 未満の報酬金をバグバウンティで得ているようです。

The bulk of hackers make less than $20,000 per year from bug bounties as a hobby.

月当たりに計算すると、月に約 $1,666 になり、現在の日本円だと「約25万円」になります。

これにより、先ほどの「Hunter の59%は趣味(副業)」でそのくらいバグバウンティで稼いでいる人が世界には多くいることがわかります。


使い道

バグバウンティで得た報酬金は、28%の Hunter が「個人収入(Personal Income)」とわかります。

また、有名な Hunter とかだと、よく X (Twitter)で「報酬金で車を買った」ツイートを見かけることも多々あります。


4. Research

時間

平均して週にどのくらいバグバウンティで脆弱性を探しているかは、37%の Hunter が「1~9時間」とわかります。


ツール

Hunter がよく使うツールとしては、Web の対象が圧倒的に多いというのもあり、89%の Hunter が「Burp Suite」とわかります。

また、Hunter の独自ツールを使っている割合が39%となっていて、調査の自動化を独自で行なっている Hunter も多々見かけます。


脆弱性

HackerOne でよく報告される脆弱性は、最新の「HackerOne’s Top Ten Vulnerabilities」より以下のようになっています。

ちなみに、対象の業界ごとによく報告されている脆弱性は、「政府」「金融」「自動車」「コンピューターソフトウェア」「暗号とブロックチェーン」「インターネットとオンライン サービス」「小売と電子商取引」「通信」で以下のようになっています。


5. Target

対象

Hunter がよく探す脆弱性の対象の種類としては、71%の Hunter が「Websites」とわかります。

また、HackerOne の最新の調査でも「Websites」が圧倒的に多く占めていて、他にも「APIs」「Android Mobile Apps」「Cloud Platforms」「Open Sources」などが多いとわかります。


選ぶ基準

Hunter が脆弱性を探す対象のプログラムを選ぶ基準としては、72%の Hunter が「報酬金(Bounties offered)」とわかります。

そのため、報酬金の金額が高いプログラムは、脆弱性を探す競争率が高いを考えられます。


6. 終わりに

本稿では、HackerOne などのバグバウンティプラットフォームで脆弱性を探す Bug Bounty Hunter (Ethical Hacker)についての調査結果を簡単にまとめて紹介しました。

バグバウンティに興味持っている方やセキュリティに興味がある若い世代に少しでも参考になれば幸いです。


バグバウンティ入門(始め方)

バグバウンティの始め方として、以下のブログにまとめているため、良ければこちらもご覧ください。

scgajge12.hatenablog.com


References


ここまでお読みいただきありがとうございました。