特集記事ナサニエル・ウェイクラムは昨年25万ドルを稼ぎました。彼の副業は、バグを発見し、バグ報奨金プログラムに報告することです。
ウェイクラム氏は高校と大学を中退した20歳だが、バグ報奨金制度ブームの象徴のような存在となっている。バグ報奨金制度とは、人気アプリ、サービス、ビデオゲームの脆弱性を報告したウェイクラム氏のような人物に、世界有数の企業が数万ドルを支払うという運動だ。
ウェイクラム氏は珍しいケースではない。著名なバグバウンティハンターのマーク・リッチフィールド氏は、過去2年間で50万ドルを稼いだと見積もっている。
こうした賞金は、ほとんどの賞金稼ぎにとって副収入となっている。ウェイクラムは、とある金曜の夜に数時間かけて、世界で最も人気のある消費者向けプラットフォームのリモートコード実行バグを解析し、オーストラリアの年間最低賃金の約3分の2に相当する2万ドルをあっさりと稼ぎ、その後は飲みに行く時間もある。
彼は、世界最大のテクノロジー企業や一般家庭向け企業で脆弱性を見つけて報告し、金銭を稼ぐバグ報奨金ブームに乗った世界中の何百人もの才能あるハッカーの一人だ。
賞金稼ぎ…ナサニエル・ウェイクラム(写真:ダレン・パウリ)
バグ報奨金プログラムは、大企業が安価で効果的なセキュリティ調査と見なしたことで、大きなビジネスへと成長しました。ゼネラルモーターズ、ペイパル、ゲーム・メディア大手などは、オーストラリアからジンバブエに至るまでのハッカーたちに数百万ドルを支払っています。一方で、セキュリティに手を焼いている優良企業は、適切なパッチ適用の投資収益率について議論しています。
「大変な道のりでした」とウェイクラム氏はレジスター紙に語った。「大金を稼ぎました。」
ネットスケープのチャンピオン
ドットコム・ブームの黎明期、ネットスケープ社の幹部との意見が分かれる会合で、ジャレット・ニール・リドリングハーファー氏が、後に友人らが「バグ報奨金制度」と呼ぶことになるものを売り込んでから20年が経ちました。これは、カリフォルニアのオープンソース推進派の活力に訴えた天才的なアイデアであり、また、初期のウェブが安全な場所であるというイメージを守る手段でもありました。
そのアイデアはシンプルながらも衝撃的でした。Netscapeの熱心で技術に精通したコミュニティ(彼らは既にブラウザの内部を覗き見ていました)に、発見したセキュリティ上の欠陥を報告してもらうのです。それに対し、エンジニアたちは彼らに情報を提供するのです。コミュニティはすぐに、Netscape Championsプログラムで脆弱性を報告するだけでなく、分散型サービス拒否攻撃(DDoS)の模擬試験でブラウザのストレステストを行うエンジニアの支援も行うようになりました。
チャンピオンズ・プログラムは、これまで分散していたネットスケープ社のブレーン・トラストを活用するというリドリングハーファー氏の提案をエンジニアたちが全面的に支持していなければ、ローンチパッドから出荷されることはなかっただろう。当時ネットスケープ社の社員番号121だった彼は、その会議でほとんどの社員の支持を得た。「自分のアイデアをプレゼンした時は緊張しました」と、次世代技術のインキュベーター開発に携わるウクライナのオデッサからザ・レグ紙に電話で語ったリドリングハーファー氏は、「彼らは、ネットスケープ社のコミュニティの人たちが、私たちのエンジニアよりもバグを見つけるのが上手だとは思っていなかったようです。私は、彼らは既にそうしていると言いました」
リック・シェルはネットスケープ社のエンジニアリング担当副社長であり、この会議で反対意見を述べた一人だった。その後の数年間、彼がなぜバグ報奨金制度にすぐに飛びつかなかったのか、正確な記憶は曖昧になっているが、元ボーランド社の技術者である彼は、外部からの支援を疑ったからではないと述べている。
「80年代後半にボーランドにいた頃は、常に外部の人たちが助けてくれました」と、現在メンロパークのベンチャーキャピタルで働いているシェル氏は語る。「ベータプログラムは外部の人たちが助けてくれるものです。反対意見は、提案された方法で外部の人たちに報奨金を支払うことと関係があったのです。」
シェル氏は、バグ報奨金プログラムが、バグトリアージに追われてNetscapeが期待していた迅速なリリースプログラムにとってリスクとなる可能性があると示唆している。「私たちは非常に迅速に動いていました。そのため、組織として想定されていない税金を課すことは問題でした。」
シェル氏がバグ報奨金プログラムに加わったのは、故ネットスケープ社のマーケティング担当副社長マイク・ホーマー氏と最高経営責任者ジム・バークスデール氏の支援によるものでした。その後しばらくして、このプログラムはセキュリティとネットスケープ社の評判向上に寄与すると広く認識されるようになりました。特に、インテル社が浮動小数点バグを隠蔽したことで、自らをのけ者にしていた時期においては、その認識は強まりました。
2年前、アリゾナ州でプール清掃を1回9ドルで請け負っていたリドリングハーファー氏は、運用部門で会社のエンジニアたちと働くことになった。彼によると、次々と報告されるバグは驚くほど多く、活気のあるコミュニティは脆弱性を報告すればNetscapeショップのTシャツやグッズを喜んで交換してくれたという。また、数ヶ月ごとにNetscapeがテクノロジーの聖地でチャンピオンのために開催する豪勢なパーティーにも、彼らは大喜びしていたという。
1996年頃、幹部の間で再び会議が開かれ、Netscapeの脆弱性ハンターに、現在では世界初のバグ報奨金制度として知られる制度として、現金とTシャツが贈られることが決定されました。報奨金は、最も重大な脆弱性に対して最大約1,000ドルでした。
