バグ報奨金プログラムについて比較してみた

おはようございます！アイシーティーリンクの國分です。
本日は「バグ報奨金プログラム」について投稿いたします。

バグ報奨金プログラムとは？

脆弱性を発見し、報告をすることにより報酬や名誉を得ることができる制度です。「バグバウンティ」とも呼ばれます。

バグと言えば、少し前にTwitterでコロコロコミックのアカウントが「"裏技"っていつから言われ始めたか知ってる？」と言うツイートをしておりましたね。

“裏技”っていつから言われ始めたのか知ってる？（0/5）#漫画が読めるハッシュダグ pic.twitter.com/dGe8qdDqxt

— コロコロコミック【公式】 (@corocoro_tw) August 17, 2024

物は言いようですが、こちらの漫画は30代オーバーのお兄さんお姉さん達にグッとくるものがあるのではないのでしょうか？
ITとは少しずれてしまいますが興味のある方は読んでみてください。
（ポケモン赤緑のミュウが釣り竿で釣れる件、ポケモン金銀のウバメのもりのほこらの件とか、ネットが今ほど発達していないのになぜか広まってましたよね。少し上の世代になるとマリオの無限1UPとか。）

脱線失礼いたしました。バグ報奨金プログラムの話に戻ります。

バグ報奨金プログラムはMicrosoftやAWS、GoogleやCisco等のさまざまな企業が実施しています。

 プログラムをリリースする前に膨大な量かつ綿密なテストを行うと思いますが、納期を考慮した場合どうしても限界はあります。
（テストケース作成したことがある人は頷いてくれるのではないのでしょうか？）
また、使う人が変われば全く別の視点から未知の問題の発見に繋がります。
脆弱性の大小はあると思いますが、致命的な問題（個人情報の流出やシステムの破壊が生じる等）が発覚した場合はユーザーへの甚大な被害から企業の信頼低下等の影響が出ます。

各企業のバグ報奨金プログラムなど

Microsoftの場合

報告先：MSRC Reseacher Portalから報告が可能です。

提出する際にはバグの再現手順を書面または動画で提出する必要があります。2024年9月現在、最大報酬は3,000米ドルです。応募資格は14歳以上とのこと。

良いレポートの例・そうでないレポートの例が参考になります。バグの報告有無関係なく見てみることをおすすめします。

Microsoft Security Research&Defense Blogの記事に統計の記事があります。2023年の報酬総額は16,600,000ドルだそうです。

Microsoft Bounty Programs | MSRC

Googleの場合

報告先：Google Bug Huntersから報告が可能です。

提出する際、動画を推奨しておりません。（提出したとしても、できるだけ簡潔に！と注意書きがあります。）

Bug Hunter Universityと呼ばれるサービスがあり、バグハンティングの学習やスキルの向上が可能です。統計ページでこれまでの報酬の総額や今までの最大報酬額を見ることができます。

2023年の報酬総額は9,334,973ドルだそうです。

Google Bug Hunters

お時間のある時にサイトを眺めてみると楽しいですよ。

それではまた来週お会いしましょう！良い一日をお過ごしください！