脆弱性報奨金プラットフォーム HackerOne が本日発表した数字によると、脆弱性ハンターは昨年、多額の利益を獲得した。
Hacker-Powered Security Report は、脆弱性開示エコシステムに関する 2 年ごとの調査です。
調査によると、組織は27,000件の脆弱性を解決し、倫理的なハッカーは2017年だけで1,170万ドルの報酬を獲得しました。HackerOneが管理する上位の報酬プログラムでは、重大な脆弱性に対する平均報酬が3分の1増加し、2万ドルとなりました。
合計116件の重大な脆弱性に対し、それぞれ1万ドル以上の報奨金が支払われました。2017年には、1件の報告に対して支払われた最高額の報奨金は7万5000ドルに達しました。
ハッカーはかつてないほど深刻な脆弱性を発見しており、解決済みのバグの24%が「高」から「重大」と分類されています。誤検知は減少傾向にあり、提出され承認された報告の5分の4(80%)が有効であることが判明しています。
米国のハッカーは、授与された報奨金全体の17%を獲得し、インド(13%)、ロシア(6%)、英国(4%)、ドイツ(3%)が上位5カ国を占めています。ドイツのバグハンターは好調で、2017年の報酬は前年比157%増加しました。
ハッカーの10人中9人は35歳以下で、半数以上が独学です。高収入の研究者は、母国におけるソフトウェアエンジニアの平均年収の2.7倍を稼いでいます。インドでは、その数字は16倍にまで上昇します。
![HackerOne は、トップクラスの収入を得ている人向けにコミック本の表紙のモックアップを作成しています [写真: Infosec の John Leyden]](https://image.brawte.com/anejbkmn/35/74/hackerone_superhero.webp)
HackerOneは、トップクラスの収入を得ている人のために漫画本の表紙のモックアップを作成している
クロスサイト スクリプティング (XSS、CWE-79) は、医療業界とテクノロジー業界を除くすべての業界で引き続き最も一般的な脆弱性であり、医療業界とテクノロジー業界では、情報漏洩に関連する脆弱性が約 8,000 件報告されました。
窃盗、詐欺、ブラフ:エル・レグはペンテストを行う「レッドチームハッカー」と共存している
続きを読む
クラウドソーシングによるセキュリティテストの導入において、各国政府は先導的な役割を果たしています。欧州委員会やシンガポール国防省などによる新規プログラムの立ち上げは前年比125%増加し、シンガポール国防省は米国国防総省に続きHackerOneのリストに加わりました。国防総省は、2016年11月に脆弱性開示ポリシーを導入して以来、5,000件以上の報告を受けています。企業における脆弱性開示ポリシーの導入も、緩やかではありますが増加傾向にあります。Forbes Global 2000企業のうち、ポリシーを策定しているのはわずか7%です。
公開されているバグ報奨金プログラムの大半はテクノロジー企業(63%)によって運営されており、金融業界(9%)とエンターテインメント業界(9%)が上位2位を占めています。その他の業界(消費財、ヘルスケア、通信など)のプログラムはほぼ全て民間企業です。現在、HackerOneに掲載されているバグ報奨金プログラムの79%は民間企業によるものです。®
