脆弱性を報告すると報奨金がもらえるプログラムを探してみた

つい最近、「LINE」が、同社のアプリの脆弱性を報告した人に報奨金を払うというプログラムを発表しましたね。

LINE Bug Bounty

こういった、ソフトウェアやサービスの脆弱性を見つけてくださいというプログラムは、海外では結構一般的で、これを導入することで攻撃者に発見されるよりも前に脆弱性を発見することができ、安全なアプリやサービスを提供することができるんですね。

ただ、日本のベンダーではまだまだ一般的ではなく、サイボウズが導入しているくらいだと思います（他にもあったら教えてください）

サイボウズ脆弱性報奨金制度｜サイボウズ株式会社

海外の有名どころでは、Google や Facebookが対応していますね。

今は「hackerone」や「Bugcrowd」といったクラウドサービス上でBug Bounプログラムを提供しているベンダーが多いみたいです。

Hackerone上で脆弱性の報奨金プログラムを提供している有名どころとしては、Yahoo!やAdobe、Twitter、Dropboxといった企業がります。

また、Bugcrowd上では、テスラモーターズ、Pinterest、LastPass、Drupal、AVG、Barracudaといった企業などが公開しています。

以下にプログラム提供企業の一覧がありますので、確認してみてください。

LINEは日本企業ではないので、実際に日本企業で提供しているのはサイボウズくらいなのですが、日本で提供している企業が少ない理由としては、日本で開発されたもので、グローバルで広く利用されているソフトやサービスが少ないのが理由の一つかなと思います。

やはり、世界的に見て、ハッカーは海外に多いことと、広く利用されているソフトウェアの脆弱性を見つけて攻撃した方がお金になるからですね。

今後は、もっと日本のソフトやサービスもターゲットになってくると思いますので、ぜひプログラムの導入も検討してもらいたいものですね。