ハッカーとしての稼ぎ方

合法的なハッキングでお金を稼いでいる方達がいるのをご存じだろうか?

この記事での「ハッカー」は、映画などに出てくるような悪さをするブラックハッカーのことではありません。

企業のシステムの脆弱性を見つけて、それを報告することで稼ぐハッカーのことです。そのようなハッカーはエシカルハッカー、バグハンター、ホワイトハッカー、セキュリティリサーチャーと呼ばれています。

企業のシステムには、システム開発者が見逃した脆弱性が存在しています。その脆弱性をブラックハッカーに突かれることでデータ漏洩が発生したりします。ホワイトハッカーは脆弱性を見つけて企業に報告することで、その対価として報奨金を貰います。

見つけた脆弱性によって獲得できる報奨金に違いがあります。トップハッカーの中には、1日で16万ドルも稼ぐハッカーもいます。合法的なハッキングで数億円稼ぐハッカーもいて、彼らはミリオンダラーハッカーと呼ばれています。

合法的なハッキングで億万長者になれるのは夢があります。しかし、報奨金を貰えるのは、最初に報告した方だけです。重複すると貰えません。

ひと昔前のハッカーは、無断で企業のシステムをハッキングして逮捕されるケースが多かったのですが、今はこのように企業を合法的にハッキングして報奨金を貰えるケースが多くなってきました。

そのため、元ブラックハッカーが刑務所から出所後にホワイトハッカーとして転身して活躍している方もいます。

下記はホワイトハッカーと企業をつなぐプラットフォームになります。ハッキングスキルがある方は、挑戦してみることをオススメします。

HackerOne | #1 Trusted Security Platform and Hacker Program

#1 Crowdsourced Cybersecurity Platform | Bugcrowd

Intigriti - Bug Bounty & Agile Pentesting Platform

IssueHunt | The biggest Bug Bounty and VDP platform in Japan

上記のサイトから診断する企業を選択します。ポリシーやスコープをしっかりと読むことをオススメします。

サイボウズもこのバグバウンティ制度を設けています。

脆弱性報奨金制度 | サイボウズ株式会社

また、Synackも似た制度を行っています。

Synack Home Page

SynackのSynack Red Teamに参加するには、試験を突破することが必要です。メンバーになるとオープンなバグバウンティとは違った経験が出来ます。

終わりに

noteもバグバウンティ制度を開始してくれたら個人的に嬉しいです。どのような脆弱性があるのか診断してみたいです。

脆弱性を見つけるテクニックが分からない方は、PortSwiggerのセキュリティアカデミーにあるラボなどをやることをオススメします。

Web Application Security, Testing, & Scanning - PortSwigger

以上で説明を終わりにしたいと思います。

ではまた･･･