💌 第18章:脆弱性報告とバグバウンティ
こんにちは、守山しずくです🌸
今回は、 脆弱性を見つけたときにどう行動するべきか? ** そして、それを正しく報告することで報酬を得る ** バグバウンティ制度 についてやさしく解説します!
🕳️ 脆弱性を見つけたらどうする?
たとえば…
- WebアプリでXSSが発見できた
- 他人の情報が見えるバグを見つけた
- 管理画面に簡単に入れる裏口を見つけた
…こんなとき、「攻撃しないで報告する」ことがホワイトハッカーの第一歩です。
🧭 そもそも脆弱性報告って?
脆弱性報告(Vulnerability Disclosure) とは、
「サービスや製品のセキュリティ上の問題点を、開発者に責任ある方法で伝えること」です。
勝手に公開したり、悪用したりせず、
“直す機会”をきちんと提供すること が大切です。
📢 責任ある報告とは?
以下のようなステップで行うのが一般的です。
-
まずは対象サービスの「脆弱性報告窓口」を探す
→ セキュリティポリシー / セーフハーバー文書 / 連絡先メールなど -
検証の際は最小限の操作で
→ 個人情報を取得したり、破壊的なテストはNG! -
報告内容を整理して送信
→ 再現手順 / 影響範囲 / スクリーンショット / PoC などを添える -
修正されるまでSNSなどで公開しない(非公開で対応を待つ)
🎁 バグバウンティとは?
バグバウンティ(Bug Bounty) は、
「脆弱性を見つけて報告した人に報酬を支払う制度」です。
企業があらかじめ「この範囲でテストしてOK」「報告には○円支払うよ」と示しており、安心して活動できます。
🌍 主なバグバウンティプラットフォーム
-
HackerOne (https://hackerone.com/)
世界最大級のバグバウンティサービス -
Bugcrowd (https://www.bugcrowd.com/)
多数の企業が参加、初心者向けイベントもあり -
Yogosha / Intigriti / Synack
ヨーロッパ発のプラットフォームも増加中 -
日本国内の例
LINE、メルカリ、Yahoo! JAPAN、サイボウズなど
💡 報告時のコツ
- 感情的にならず、丁寧な文章で説明しよう
- 誤解が生まれないように「再現性」と「影響範囲」を明確に
- 自分の連絡先(メールやPGP鍵)も忘れずに
🧘♀️ よくあるNG行動
- いきなりSNSで脆弱性を公開してしまう
- 脆弱性を実際に攻撃して証明しようとする
- 報告があいまいで運営が対応できない
→ ホワイトハッカーは“技術と責任”の両方を持って行動します
✅ まとめ
- 脆弱性を見つけたら、まずは“正しい報告”を!
- バグバウンティを通じて報酬も得られるチャンスがある
- 攻撃ではなく「改善のための提案」がホワイトハッカーの証
- 何よりも大切なのは“相手にとってありがたい存在”になること
次回は、 「第19章:キャリアとホワイトハッカーの道」 です🌱
セキュリティを仕事にするには?資格は?どう学び続ける?そんな疑問にお答えします!
💬 フォローしてくれたら、ホワイトハッカーを目指すあなたを毎日応援します♪