目次
筆者
- X: morioka12 (@scgajge12)
ブログ一覧
本ドメインのブログ記事
本ドメイン以外も含む全ての記事
P3NFEST 2026 Spring ハンズオン講座と講演の登壇レポート
1. 始めに
こんにちは、morioka12 です。
本稿では、3月7日に開催された「P3NFEST 2026 Spring」で、ハンズオン講座『実践的なバグバウンティ入門(2026年版)』と講演『Z世代が考えるこれからのセキュリティキャリア』に登壇したため、それらを簡単に紹介します。
- 1. 始めに
- 2. 「P3NFEST 2026 Spring」
- 3. ハンズオン講座『実践的なバグバウンティ入門(2026年版)』
- 4. パネルディスカッション『Z世代が考えるこれからのセキュリティキャリア』
- 5. その他
- 6. 終わりに
2. 「P3NFEST 2026 Spring」
P3NFEST(ペンフェスト)とは、IssueHunt株式会社が主催する、学生のためのサイバーセキュリティカンファレンスです。
今回で第4回目となるイベントであり、毎年多くの学生が全国から現地参加しています。
「P3NFEST」は、次世代を担うエンジニアの育成とキャリア形成を目的とした、学生向けセキュリティカンファレンスで、セキュリティの最前線で活躍するプロフェッショナルによる講演や、実践的な技術を学ぶハンズオン講座など、学生が楽しみながら専門知識を深められるプログラムが多数用意されています。
イベントの構成
- ハンズオン講座(選択式)
- 講演(Keynote Speech, CfP, パネルディスカッション)
- 交流会
交通費の支援(学生)
本イベントは現地参加のみを参加形式でもあり、毎年「現地参加者への交通費の支給」が設けられています。
- 南関東在住者(東京都・千葉県・神奈川県・埼玉県)は、上限を5千円とし、実費を支給いたします。
- 南関東以外の在住者については、上限を1万5千円 → 2万円とし、実費を支給いたします。
- 今年は、「
昨今の物価高を鑑み、支給額を増額しました!」という配慮があったそうです。
- 今年は、「
X ハッシュタグ「#P3NFEST」
公式開催レポート
3. ハンズオン講座『実践的なバグバウンティ入門(2026年版)』
今年も「P3NFEST 2026 Spring」にて、ハンズオン講座『実践的なバグバウンティ入門(2026年版)』の講師を担当します。 #P3NFEST
— morioka12 (@scgajge12) March 6, 2026
あと、「Z世代が考えるこれからのセキュリティキャリア」でもパネリストで少しお話しする予定です。 pic.twitter.com/2QgvYEQRGP
●このハンズオンについて
本講座では、バグバウンティにおける初期調査と脆弱性調査の手法を、座学と実習で学びます。特に「バグハンターの視点」を重視し、実際のターゲットに対してどのように情報収集を行い、どのような観点で脆弱性を調査するかといったポイントを実践的に解説します。
なお、今回の対象はドメイン(WebサイトやWebアプリケーション)とし、Webセキュリティの要素のみを取り扱います。円滑な理解のために、本講座で扱う脆弱性やJavaScriptの基礎知識については、事前に共有する資料にて学習していただく予定です。
プチテーマ:バグバウンティハンティング AI 自動化スペクトラム
今回で3回目となるハンズオン講座でしたが、2026年版では特に「バグバウンティハンティング AI 自動化スペクトラム ~入門から自律型 AI エージェントまでの5段階フェーズ~」について意識した形でお話ししました。
前提として、バグバウンティプラットフォームのバグバウンティプログラムに取り組むバグハンターにおいて、入門・基礎固めから自律型 AI エージェントまでの道筋について、どういう観点や流れで全体的にスキルアップしていくと良さそうかをまとめました。
4. パネルディスカッション『Z世代が考えるこれからのセキュリティキャリア』
\#P3NFEST 講演内容をご紹介📣/
— IssueHunt | プロダクトセキュリティ、丸ごとサポート🦉 (@IssueHunt_jp) February 4, 2026
パネルディスカッション②は、『Z世代が考えるこれからのセキュリティキャリア』です。
現場で活躍する若手の皆さまに、
「キャリアの選択」についてお話しいただきます🔥
講演で学べること:
🔹セキュリティ分野へ進んだきっかけ… pic.twitter.com/4Rt5fVEBdu
最後のパネルディスカッション『Z世代が考えるこれからのセキュリティキャリア』です!
— IssueHunt | プロダクトセキュリティ、丸ごとサポート🦉 (@IssueHunt_jp) March 7, 2026
◇モデレーター◇
野溝 のみぞう氏 @nomizooone
(SecuLeap 代表)
◇パネリスト◇
✔︎江頭 輝氏 @0xhikae
(フリー エンジニアリング基盤本部 セキュリティ部 RedTeam)
✔︎竹内 悠人氏 @motimoti_purinn… pic.twitter.com/p7ABhpRZ4T
主に話した内容
- 自己紹介
- セキュリティの分野に進むきっかけと、現在の仕事について
- 会社選びの軸と重要視したポイント
- セキュリティ業務における「最高の瞬間」
- いままでやってきてよかったことや後悔
新卒の学生によるセキュリティエンジニア志望の就活話
5. その他
バグバウンティイベント「P3NFEST Bug Bounty 2026 Spring」
Zenn Book『脱初心者のための実践バグバウンティ登竜門』
過去の開催記ブログ
6. 終わりに
本稿では、3月7日に開催された「P3NFEST 2026 Spring」で、ハンズオン講座『実践的なバグバウンティ入門(2026年版)』と講演『Z世代が考えるこれからのセキュリティキャリア』に登壇したため、それらを簡単に紹介しました。
また来年も春ごろに開催されるかもしれないため、セキュリティに興味ある学生はぜひウォッチしてみてください。
最後まで読んでいただき、ありがとうございました。
バグバウンティ登竜門(初級編)
1. 始めに
こんにちは、morioka12 です。
本稿では、筆者が Zenn Book でリリースした『脱初心者のための実践バグバウンティ登竜門』について紹介します。
脱初心者のための実践バグバウンティ登竜門
2. 概要
本書は、バグバウンティにおけるバグハンティングのスキルを、入門レベルから実用レベルへと高めるための、体系的かつ実践的な「脱初心者」向けの初級本です。
多くの一般的な学習コンテンツは基礎知識の習得に役立ちますが、それらを学ぶだけでは、リアルワールドのバグバウンティプログラムで実際の脆弱性を発見して報奨金を獲得するのは難しく、より実践的なバグハンターとしてのノウハウが不可欠です。
本書では、特にバグバウンティプラットフォームのプログラムにおける Web アプリケーションをターゲットにし、実在する脆弱性を発見するための技術的な観点や、調査に必要な非技術的なスキルについて、筆者の経験談をもとに体系化しました。
本書を通して、入門者・初心者レベルから一歩抜け出し、自力で未知の脆弱性を発見できる「初級バグハンター」へとステップアップするための実践的な知見を提供します。実際に初の報奨金を獲得するキッカケとして活用いただければ幸いです。
こんな方にオススメ
- バグバウンティ(脆弱性報奨金制度)にチャレンジしたい方
- やる気のある方、熱意のある方
- Web セキュリティ、Web ハッキング、バグハンティングに興味のある方
- 脆弱性診断やペネトレーションテストに興味のある方
- バグハンターになりたいが上手く成功していない方
対象読者
① 入門者の場合
- Web セキュリティの基礎を一通り学習し終えて、バグバウンティにチャレンジしたい方
- PortSwigger 「Web Security Academy」などを一定履修済み
- CTF の Web 問に一定慣れている(picoCTF や CTF4b など)
- Hack The Box の Machine で Web 侵入に一定慣れている(目安: Hacker ~ Pro Hacker)
- OSWA や CBBH などの実践寄りな資格を取得済みで、バグバウンティにチャレンジしたい方
- OffSec: OSWA (Offensive Security Web Assessor), OSWE (Offensive Security Web Expert)
- HTB: CBBH (Certified Bug Bounty Hunter), CWEE (Certified Web Exploitation Expert)
- PortSwigger: BSCP (Burp Suite Certified Practitioner)
ちなみに、本書の前提において資格取得は必須としておらず、そこまで推奨ともしていません。
② 初心者の場合
- 実際にバグハントを多少経験していて、バグバウンティにチャレンジしたい方
- OSS で脆弱性を発見して、CVE ID を取得済み
- VDP で脆弱性を発見して、脆弱性認定を経験済み
- バグバウンティにチャレンジして、なかなか成果が出ない方
- 実対象に対して何をすべきか迷う
- 脆弱性を報告しても「N/A(対象外)」「Duplicate(重複)」「Informational(参考情報)」と判定されて報奨金に至らない
その他
- リアルワールドのバグバウンティにおけるバグハンターの動向や思考が知りたい方
- 脆弱性診断士やペンテスター
- プロダクトセキュリティエンジニア
- セキュリティ教育者
読書後のゴール
- バグバウンティで脆弱性を発見して、初の報奨金を獲得すること。
- (バグバウンティで月10万円以上の報奨金を獲得できるレベルのバグハンターになること。)
3. 本書の特徴3選
- 実践的かつ戦略的な調査アプローチ
- 自身の強みや好みに合わせて、対象の構造要素(クライアントサイド, サーバーサイド, ソフトウェア)ごとに、「どのように情報を収集して、どのような観点で検証すべき」という具体的な調査フローとテクニックを紹介します。
- 「ガジェット」や「チェーン」による脅威の具体化
- 単体では影響が低い事象や仕様上の挙動(ガジェット)を組み合わせ、複数の脆弱性を連鎖(チェーン)させることで、具体的な「高い脅威」を編み出す手法を紹介します。
- レポーティング技術と再検証のポイント
- 技術的な発見だけでなく、再現性の確保、影響範囲の明確化、安全な PoC(概念実証)の提示方法、修正後の再検証など、トリアージ担当者が迅速に検証・評価できるレポート作成術を紹介します。
4. 目次構成
1.📕 はじめに(無料公開) 2.🎓 第1章 バグバウンティの基礎と戦略(無料公開) 3.🎓 1.1. バグバウンティの概要とプロセス(無料公開) 4.🎓 1.2. バグバウンティプログラムのポリシーとルール 5.🎓 1.3. バグバウンティプログラム選定の極意 6.🎓 1.4. バグハンターのタイプ別戦略 7.🎓 1.5. バグハンティングのツールと環境構築 8.💭 第2章 バグハンティングの思考法と汎用テクニック(無料公開) 9.💭 2.1. バグハンティングの全体像とマインドセット 10.💭 2.2. バグハンティングにおける思考プロセスと視点 11.💭 2.3. 情報収集のアプローチと区別 12.💭 2.4. ガジェットの探索と活用術 13.💭 2.5. エラーとブラインドの活用術 14.⚔️ 第3章 バグハンティングにおける要素別の実践アプローチ(無料公開) 15.⚔️ 3.1. クライアントサイドへのアプローチ 16.⚔️ 3.2. サーバーサイドへのアプローチ 17.⚔️ 3.3. ソフトウェアへのアプローチ 18.⚔️ 3.4. クラウドやインフラへのアプローチ 19.⚔️ 3.5. モバイルアプリの API へのアプローチ 20.🔥 第4章 バグバウンティにおける脆弱性の価値最大化(無料公開) 21.🔥 4.1. 脆弱性の脅威の高め方 22.🔥 4.2. セキュリティ機構の回避術 23.⚙️ 第5章 バグバウンティのレポーティングと再検証(無料公開) 24.⚙️ 5.1. 高品質なレポートの書き方 25.⚙️ 5.2. 再検証とフィードバックの活用法 26.📕 おわりに & 読者限定特典 27.🎁 付録1 最初の10万ドルを稼げるようになるためのロードマップ 28.🎁 付録2 バグハンティングに活かす独自 AI ツール開発術 29.🎁 付録3 バグバウンティの脆弱性レポート集 30.📅 更新履歴(無料公開)
5. リリース前読者による感想コメント
6. 終わりに
本稿では、筆者が Zenn Book でリリースした『脱初心者のための実践バグバウンティ登竜門』について紹介します。
ぜひ、バグバウンティに興味ある方に、読んでいただけたら幸いです。
本書の紹介資料(画像・音声・動画)
ここまでお読みいただきありがとうございました。
2025年の振り返り
1. 始めに
こんにちは、morioka12 です。
(落ち着いたため、だいぶ遅くなりましたが...。)今回は、morioka12 の「2025年の振り返り」ということで、去年あったことを簡単に振り返ってまとめます。
2. サマリー
- BizDev のインプットと業務
- 書籍の執筆
- 「セキュリティ若手の会」の幹事
- 国内外のバグハンターとの交流
- 体調不良
① BizDev
2025年の4月から、本業の主軸を脆弱性診断・ペネトレーションテスト担当から、サイバーセキュリティ事業の BizDev (Business Development) 担当に意向でシフトしました。
そのため、2025年に入る前くらいから、BizDev 系(サービス開発・事業開発・ビジネス・マーケティング・デジタル産業)の本や資料を読んだり、「BizDev Kaigi」などの Biz イベントに参加したりして、Biz 寄りのインプット量を以前より増やしたりしてました。また、途中からコンサルティングについても、目的というよりかは一つの手段として基礎から学び始めて取り組むようになりました。
セキュリティベンダーのセキュリティエンジニアという立場から、「既存顧客・新規顧客」「既存サービス・新規サービス」「課題発見・提案・解決」「潜在的ニーズ・共通ニーズ」「付加価値」「アップセル・クロスセル」「市場調査・企業調査」「現状分析・言語化」「セキュリティ成熟度」「優先順位」「ROI(投資利益率)」「理想像・最低ライン」「リスクに対する効果的な施策」などのキーから、「顧客にとっての新たな価値を創出する/生み出す/提供する」という視点で取り組めていることは面白いと感じています。
特に、今までの診断やペネトレのような小さな切り口での課題解決(高度なリスク評価)だった視点から、お客様の組織的なセキュリティ課題に幅広くかつ親密なところまで関われる(支援できる)ようになり、セキュリティに携わる身としての使命感から顧客貢献のやりがいも感じています。
もともと関心のあった「セキュリティに関する事業/サービス作りと顧客への価値提供」という点から、セキュリティエンジニアとしてこれまでと違った「お客様の課題解決のため、かつ事業成長のため」の視点で本業の時間に取り組み始められた年になったため、新しいチャレンジとしては良かったと思います。今後も BizDev 視点でサイバーセキュリティに取り組みたいと思います。
② 書籍執筆
2025年の2月ごろから大きめのタスクとして、書籍の執筆に時間を充てるようになりました。まだ、最後まで完了していたいため詳細は省きますが、2026年の春頃に情報解禁の予定です。(苦手で大変)
また、以前からバグハンターの個別教育面で、何人かの学生や知り合いにバグハントのサポートや知見共有などもしてきた関係で、年末の2,3日で簡単な電子書籍として『30日でCVE取得! OSSバグハント入門』をまとめてリリースしました。今回は、一定のラインを引きたかったなどの意図があり、少額の有料本としました。一般的にはニッチな領域であり、やられ環境やラボなどの入門教材より一歩くらい先の内容でもあるため、せいぜい30人くらいの購入に至れば嬉しいくらいの感覚でいましたが、リリースして4日で100人超えの購入があったため、意外にもそこまで興味関心ある人がいるという点に驚きました。
また、本命として書きたい『脱初心者のための実践バグバウンティ登竜門』も春くらいを目処にリリースしたいと思っています。「OSSバグハント入門」は、おまけ程度のイメージです。これらを無事に終えれば、当分はアウトプット活動を控える意向です。
③ セキュリティ若手の会
2024年の10月に共同創設した「セキュリティ若手の会」というコミュニティも、幹事として運営してきました。無事に、3回のイベント主催と Findy とのコラボイベントを開催しました。これまでの個人活動の一環として、サイバーセキュリティに興味関心を持つ学生や、セキュリティの職に就く新卒の方と交流できる機会を作り、運営として貢献できたことはとても良かったです。
特に、「昔に書いた就職活動のブログを読んで人生変わりました!」って人や、「バグハントの資料や Podcast をいつもチェックしてます!」って人などが、イベントで声かけに来てもらえて良い交流になりました。やはり、ブログなどで何かその当時のことをアウトプットとして残しておくことは大事だなと改めて感じました。個人的にはいつもメモや記録、話題を残しておく感覚でブログを書いています。(何かあればブログを共有するばイメージ済む感覚)
第2回 セキュリティ若手の会(LT&交流会) - connpass
第3回 セキュリティ若手の会(ワークショップ&交流会) - connpass
第4回 セキュリティ若手の会(LT&交流会) - connpass
あなたの知らない ”サプライチェーン攻撃”を語る セキュリティ Night - connpass
また、2025年内をもって幹事を辞任(一足先に引退)しました。学生時代の経験から得た教訓を活かして、業界貢献を目的として細かいコンセプト設計から若手(学生・新卒)向けイベントの企画や運営に携われたことはとても良い機会となりました。
【お知らせ】この度、昨年に共同創設した「セキュリティ若手の会」の幹事を、年内をもって辞任(一足先に引退)することにいたしました。
— morioka12 (@scgajge12) December 19, 2025
今後の個別のお問い合わせは、公式アカウント(@sec_wakate)や公式フォームにご連絡ください。…
④ バグハンター
2025年は、あまりバグハンターとしての活動はできませんでした(1~3月に少しだけバグハントした)が、以前に引き続き日本ハッカー協会「Hack Fes.」や IssueHunt「P3NFEST」のイベントでハンズオン講座を担当しました。また、個別依頼で事業会社の社内勉強会(非公開)で「バグハンター視点によるバグハント入門」のような講座(テクニカルな要素ではなく、リスク分析・思考という視点)を実施したり、知り合いにバグハントの実践フォローをしたりもしました。
裏では、仲良くしている海外のバグハンターとも引き続きコミュニケーションを取ったり、他のバグハンターが見つけた怪しい箇所やガジェットについて議論したり支援したりして良い刺激をもらったりしていました。あとは、バグハントの超集中する時間の確保の代わりに、気分転換程度に自作して使っていたツールのメンテで Go や TypeScript のコードを書いたり、バグハント用の AI エージェントも作り始めたりしてました。
バグバウンティやバグハントに関する発信をしている日本人はあまりいないため、自身の経験や経緯をもとに少しでも興味を持ってもらえる人が増えれば良いなという思いでこれまで発信してきました。世の中には、バグハンターとしてやバグバウンティに取り組んでもいない人によるそれらの内容の発信や教材などが見受けられますが、やはり現役のバグハンターとして一定の経験をもとにしたアウトプットを発信することは、活きた知見として大事だと思っています。今後はアウトプットや講演等による貢献は控えるつもりですが、2026年の後半からはバグハンターとしてバグバウンティの現場に戻りたいと思っています。そして、ペアバグハントなどで熱意ある仲間を集っていければと思います。
⑤ 体調不良
実は、2025年の秋ごろから「慢性型の体調不良(内臓系)」になっていて、食事制限や行動制限などに縛られながら生活しています。食事制限では、小麦粉・乳製品・芋類・炭酸類などなどが NG となり、パン・ラーメン・マックなどが食べれない状況です。また、行動制限では、人混みや長距離移動が心身的に厳しくなり、気軽に遠出できる状況でもなくなりました。(そのため、大人数の忘年会等はお断りして申し訳なかったです...。)
最近は、毎日薬を飲んでいるため、症状は酷い時より良くなりましたが、たまにちょっとしんどい時がある感じです。普通にオンラインで仕事したり、生活する分には問題ない状況ですが、今は無理せず程々の生活を送っています。(適度に療養中)
⑥ その他プライベート
体調不良以外は、特に問題なく人生も良い感じでした。趣味のディズニーには6回行けました(秋以降は行けず...)。
また、整体に通い始めたり、散歩したり、ゲームしたり、アニメや映画を見たり、気分転換の時間も以前よりちゃんと取るようになりました。
3. タイムライン
覚えている範囲で、取り組んでいたことを時系列ごとにまとめてみます。
- 1 ~ 3月:新卒1年目
- 4 ~ 12月:新卒2年目
1月
- バグバウンティを対象に少しバグハントした
- 「セキュリティ若手の会」のインタビュー記事を公開した
Just scored a reward @intigriti. #HackWithIntigriti
— morioka12 (@scgajge12) January 7, 2025
I got first Acceptd & €€€ reward in 2025! pic.twitter.com/v1RukZBSwI
2月
- 書籍の執筆活動がスタートした
- イベント「SecHack365 第5回 オンライン会」にアシスタントとして参加した
- ブログ「バグバウンティにおけるLLMの活用事例」を公開した
- ブログ「バグバウンティにおけるJavaScriptファイルの監視ツールの事例」を公開した
- ポッドキャスト「Bug Bounty JP Podcast」が1周年を迎えた(現在は一時休止中)
【ポッドキャストの新エピソード】
— Bug Bounty JP Podcast (@bbjppodcast) February 27, 2025
2025年2月分のエピソード「BBJP_Podcast #13 (1周年記念回&ゲスト回)」を公開しました!
今回は「Masato Kinugawa (@kinugawamasato)」さんとのゲスト回です!
Bug Bounty JP Podcast #BBJP_Podcast https://t.co/KUjuYvAOoe
3月
- バグバウンティを対象に少しバグハントした
- イベント「SecHack365 第6回 東京会」にアシスタントとして参加した
- ブログ「バグバウンティにおける脆弱性報告ランキング Top 10 (2024年版)」を公開した
- イベント「P3NFEST 2025 Winter」で『実践的なバグバウンティ入門(2025年版)』を実施した
- イベント「第2回 セキュリティ若手の会(LT&交流会)」を主催した
Just scored €€€ reward @intigriti. #HackWithIntigriti
— morioka12 (@scgajge12) March 5, 2025
An interesting vulnerability has finally been confirmed. pic.twitter.com/FZIq9zV7Zt
今日は午前中から 「P3NFEST 2025 Winter」のハンズオン講座やります! #P3NFEST pic.twitter.com/D5n421Uoul
— morioka12 (@scgajge12) March 15, 2025
4月
- 転職(転籍)した
- ブログ「日本人バグハンター11人に聞いた!バグバウンティの魅力や面白さについて #BBJP_Podcast」を公開した
5月
- ブログ「Amazon Bedrockを活用した生成AIアプリケーションにおけるセキュリティリスクと対策」を公開した
- ブログ「AWS Community Builder の1年目振り返りと2年目抱負」を公開した
6月
- ブログ「バグバウンティハンターにおけるタイプと好みとAIについて」を公開した
- ブログ「オススメの Rust 製無料プロキシツール「Caido」の紹介」を公開した
7月
- イベント「Hack Fes. 2025」で『バグバウンティ入門』を実施した
<Hack Fes. 2025 プログラム紹介 #06>https://t.co/awFoFUT5fk
— 一般社団法人日本ハッカー協会 (@JapanhackerA) July 3, 2025
バグバウンティ入門
〜バグハンターへの道のり〜
本講義では、バグバウンティに興味がある方や挑戦してみたいけど始め方がわからない方などの初心者に向けて、最初の一歩を踏み出せる内容を取り扱います。… pic.twitter.com/LL5MKjXbqS
8月
- イベント「第3回 セキュリティ若手の会(ワークショップ&交流会)」を主催した
9月
- 体調不良のスタート
10月
- ブログ「国際的なバグバウンティ制度の活用状況について(2025年) 」を公開した
11月
- イベント「第4回 セキュリティ若手の会(LT&交流会)」を主催した
12月
- イベント「あなたの知らない ”サプライチェーン攻撃”を語る セキュリティLT Night 」をコラボ開催した(体調不良で不参加、資料公開のみ)
- ブログ「バグハンター実績を歓迎要件に含むセキュリティエンジニア求人のプチ調査」を公開した
- ブログ「【予告】Zenn Bookで「(仮)脱初心者のための実践バグバウンティ登竜門」をリリース予定」を公開した
- Zenn Book『30日でCVE取得! OSSバグハント入門』をリリースした
- 「セキュリティ若手の会」の幹事を辞任した
Zenn Book で『30日でCVE取得! OSSバグハント入門』を公開しました! #OSSバグハント入門
— morioka12 (@scgajge12) December 31, 2025
昔に書いたブログをだいぶブラッシュアップして、体系的にまとめました。 (時間に余裕できれば、もう少し改修します。)
特に、初めての CVE ID…
4. アウトプット
ブログ
スライド
5. その他
過去の振り返りブログ
6. 終わりに
今回は、morioka12 の「2025年の振り返り」ということで、去年あったことを簡単に振り返ってまとめました。
2026年の抱負
- 本業:引き続き「事業成長・サービス成長」と「顧客の課題解決」の二軸で頑張る。
- プライベート活動:基本控えるの姿勢で、マイペースでぼちぼち頑張る。バグバウンティやる。
- 私生活:「健康・運動」と「気分転換」をちゃんとやる。時間を作る。
ここまでお読みいただきありがとうございました。
バグバウンティにおける脆弱性報告ランキング Top 10 (2025年版)
1. 始めに
こんにちは、morioka12 です。
本稿では、2025年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10、そして AI によるバグバウンティ業界の傾向分析について紹介します。
- 1. 始めに
- 2. Bug Bounty Top 10 Vulnerability Types
- 3. HackerOne Most Popular Votes Top 10
- 10位:Account takeover of existing HackerOne accounts through SCIM provisioning
- 9位:Shopify Partners Invitation Process Allows Privilege Escalation Without Email Verification
- 8位:sys_fsc2h_ctrl kernel stack free
- 7位:Arbitrary Read of Another Users private repository without Authorization
- 6位:DoS Vulnerability via Cache Poisoning on cdn.shopify.com and shopify-assets.shopifycdn.com
- 5位:0-Click Account Takeover via Password Reset [AUTH-3243] /orchestrator/v1/password_reset/start
- 4位:Disclosing PolicyPageAssetGroup in Private Programs via /graphql gid://hackerone/PolicyPageAssetGroupsIndex::PolicyPageAssetGroup/{id}
- 3位:Exposed proxy allows to access internal reddit domains
- 2位:The /reports/:id.json endpoint discloses potentially sensitive user attributes when reporter summary is present
- 1位:Account Takeover via Password Reset without user interactions
- ランキング表
- 4. その他
- 6. 終わりに
お知らせ
【公開】Zenn Book『30日でCVE取得! OSSバグハント入門』
本書は、Web セキュリティの基礎を一通り学び終えた方が、実際に「CVE 番号の取得」というリアルワールドな成果を初めて手にするための、体系的かつ実践的なバグハント入門ガイド本です。
【予告】Zenn Book『脱初心者のための実践バグバウンティ登竜門』
本書は、バグバウンティにおける実践的なバグハンティング(脆弱性探し)のスキルを入門レベルからさらに高めたい方への脱初心者向けまとめ本です。
2. Bug Bounty Top 10 Vulnerability Types
ここでは、2025年のバグバウンティプラットフォームにおける脆弱性 Top 10 について紹介します。
HackerOne
- Cross-Site Scripting (XSS)
- Improper Access Control (IAC)
- Information Disclosure
- Misconfiguration
- Insecure Direct Object Reference (IDOR)
- Business Logic Errors
- Privilege Escalation
- Improper Authentication
- SQL Injection (SQLi)
- Improper Authorization
AI 分析
- 認証認可へのシフト
- XSS は依然として数は多いものの、バグハンターの関心は、より影響度の高い「認可の不備(IAC, IDOR)」や「ビジネスロジックエラー」などにシフトしています。
- AI の影響
- XSS や SQLi のようなパターン化しやすい脆弱性は、今後 Hackbot による自動検出が進み、人間のバグハンターにとっては価値が低くなると予測されています。
Bugcrowd
No data yet
Intigriti
No data yet
YesWeHack
No data yet
3. HackerOne Most Popular Votes Top 10
ここでは、2025年に HackerOne で開示された脆弱性報告の中で最も人気投票が多かった Top 10 について紹介します。
- 対象:2025年1月1日から2025年12月31日に HackerOne で公開された脆弱性レポート
10位:Account takeover of existing HackerOne accounts through SCIM provisioning
- Vote: 218
- Severity: High
- Weakness: Improper Access Control
- Bounty: Hidden
この報告は、HackerOne の SCIM(System for Cross-domain Identity Management)プロビジョニング機能において、ユーザー名とメールアドレスの処理に不備があり、攻撃者が外部の IdP を利用して、既存の HackerOne ユーザーのアカウントを乗っ取ることができる脆弱性が発見されました。
9位:Shopify Partners Invitation Process Allows Privilege Escalation Without Email Verification
- Vote: 223
- Severity: Medium
- Weakness: Improper Access Control
- Bounty: $3,500
この報告は、Shopify Partners プログラムへの招待プロセスにおいて、招待メールのリンク検証が必須ではなかったことに起因する脆弱性でした。これにより、既存のスタッフメンバー(攻撃者)が、招待中の「オーナー」のメールアドレスを悪用して勝手にアカウントを作成し、その招待を承諾することで、自身の権限を「オーナー」へと不正に昇格させることが可能でした。
8位:sys_fsc2h_ctrl kernel stack free
- Vote: 229
- Severity: High
- Weakness: Use After Free
- Bounty: $10,000
この報告は、PlayStation のカーネルにおけるシステムコール sys_fsc2h_ctrl に、メモリ管理の不整合に起因する脆弱性でした。特定の条件下で、ヒープ領域ではなく「カーネルスタック」上のメモリ領域を誤って free()(解放)してしまう問題です。
7位:Arbitrary Read of Another Users private repository without Authorization
- Vote: 239
- Severity: High
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: $10,000
この報告は、GitHub Enterprise Server(GHES)において、不適切なアクセス制御の脆弱性でした。これにより、攻撃者は自身がアクセス権を持つリポジトリと、ターゲットとなる被害者のプライベートリポジトリとの間で「差分(Diff)」を作成する機能を悪用し、権限がないにもかかわらず他者のプライベートリポジトリのコードの一部を読み取ることが可能でした。
6位:DoS Vulnerability via Cache Poisoning on cdn.shopify.com and shopify-assets.shopifycdn.com
- Vote: 248
- Severity: Medium
- Weakness: Cache Poisoning
- Bounty: $3,800
この報告は、Shopify の CDN サーバーにおいて、URL 内の「スラッシュ(/)」と「バックスラッシュ(\)」の扱いに不整合があったことが原因によるで、キャッシュポイズニングの脆弱性でした。
5位:0-Click Account Takeover via Password Reset [AUTH-3243] /orchestrator/v1/password_reset/start
- Vote: 253
- Severity: Critical
- Weakness: Improper Access Control
- Bounty: Hidden
この報告は、Remitly のパスワードリセット機能において、攻撃者が被害者の操作や同意を一切必要とせずに、任意のユーザーのパスワードをリセットし、アカウントを完全に乗っ取ることができる脆弱性でした。
4位:Disclosing PolicyPageAssetGroup in Private Programs via /graphql gid://hackerone/PolicyPageAssetGroupsIndex::PolicyPageAssetGroup/{id}
- Vote: 255
- Severity: Critical
- Weakness: None
- Bounty: $25,000
この報告は、HackerOne の GraphQL エンドポイントにおいて、IDOR の脆弱性が発見されました。認証されていないユーザーでも、特定の GraphQL クエリを使用し、ID を総当たりすることで、非公開のバグバウンティプログラムの情報や、それらのプログラムに属するレポートのタイトルを取得することが可能でした。
3位:Exposed proxy allows to access internal reddit domains
- Vote: 272
- Severity: High
- Weakness: Improper Access Control
- Bounty: $7,500
この報告は、Redditのインフラ設定ミスにより、特定の IP アドレスで稼働していたプロキシサーバーがインターネット上に意図せず公開されていました。このプロキシを経由することで、攻撃者は本来外部からアクセスできないはずの Reddit 内部の開発環境や、開発者が利用する個別のサービスインスタンスへアクセス可能な状態でした。
2位:The /reports/:id.json endpoint discloses potentially sensitive user attributes when reporter summary is present
- Vote: 594
- Severity: Critical
- Weakness: Information Disclosure
- Bounty: Hidden
この報告は、HackerOne 上で公開(Disclosed)されたレポートの .json エンドポイントにおいて、特定の条件下でレポーターの機密情報が意図せず漏洩していた脆弱性です。
1位:Account Takeover via Password Reset without user interactions
- Vote: 830
- Severity: Critical
- Weakness: Improper Access Control
- Bounty: $35,000
この報告は、GitLab のパスワードリセット機能において、リクエストパラメータを改ざんすることで、攻撃者が任意のユーザーのアカウントを乗っ取ることができる脆弱性でした。
ランキング表
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 830 | Improper Access Control | $35,000 | link |
| 2 | 594 | Information Disclosure | Hidden | link |
| 3 | 272 | Improper Access Control | $7,500 | link |
| 4 | 255 | None | $25,000 | link |
| 5 | 253 | Improper Access Control | Hidden | link |
| 6 | 248 | Cache Poisoning | $3,800 | link |
| 7 | 239 | IDOR | $10,000 | link |
| 8 | 229 | Use After Free | $10,000 | link |
| 9 | 223 | Improper Access Control | $3,500 | link |
| 10 | 218 | Improper Access Control | Hidden | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、GitLab からの「$35,000」でした。
4年間の高人気統計
- アクセス制御の不備(Improper Access Control, IDOR)
- 設定ミスによる情報開示(Information Disclosure, Misconfiguration)
- XSS, SSRF
- ビジネスロジックのエラー(Business Logic Errors)
- その他
- Remote File Inclusion, Path Traversal
- Command Injection
- Cache Poisoning
4. その他
過去の HackerOne Most Popular Votes Top 10
2024年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 308 | IDOR | Hidden | link |
| 2 | 301 | XSS | Hidden | link |
| 3 | 237 | Improper Access Control | $12,500 | link |
| 4 | 227 | Hard-coded | Hidden | link |
| 5 | 212 | Improper Null Termination | Hidden | link |
| 6 | 209 | IDOR | Hidden | link |
| 7 | 187 | Business Logic Errors | $2,000 | link |
| 8 | 182 | Improper Access Control | $25,000 | link |
| 9 | 174 | Buffer Overflow | $12,500 | link |
| 10 | 170 | XSS | $5,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$25,000」でした。
2023年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 676 | IDOR | $15,000 | link |
| 2 | 392 | Improper Access Control | $750 | link |
| 3 | 360 | Remote File Inclusion | none | link |
| 4 | 351 | XSS | $5,000 | link |
| 5 | 346 | SSRF | $25,000 | link |
| 6 | 344 | Information Disclosure | $7,500 | link |
| 7 | 292 | SSRF | $6,000 | link |
| 8 | 284 | XSS | none | link |
| 9 | 283 | IDOR | none | link |
| 10 | 259 | IDOR | $13,950 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、HackerOne からの「$25,000」でした。
2022年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 441 | Improper Access Control | $10,000 | link |
| 2 | 300 | IDOR | $12,500 | link |
| 3 | 281 | Path Traversal | $29,000 | link |
| 4 | 268 | Command Injection | $33,510 | link |
| 5 | 263 | Command Injection | $33,510 | link |
| 6 | 260 | Command Injection | none | link |
| 7 | 255 | Privilege Escalation | $20,000 | link |
| 8 | 254 | Buffer Overflow | $10,000 | link |
| 9 | 235 | IDOR | $11,500 | link |
| 10 | 215 | IDOR | $20,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$33,510」でした。
AI によるバグバウンティプラットフォームの動向分析2025
2025年のバグバウンティ業界は、「AI による拡張(Bionic Hacker)」と「攻撃対象の複雑化(IoT/API)」がトレンドとなった1年でした。
🇺🇸 HackerOne
- テーマ
- 「バイオニック・ハッカー(Bionic Hacker)」の台頭
- 概要
- ハッカーが AI ツールを活用して能力を拡張することが常態化しました。AI 関連の脆弱性報告が前年比 210% 増と急増し、特にプロンプトインジェクションなどの AI 固有の問題が注目されました。
- RoM (Return on Mitigation)の重視
- 単に脆弱性を見つけるだけでなく、どれだけの損失を防いだかという投資対効果が経営層に向けて強調されています。
- 報奨金の二極化
- 暗号資産(Crypto)や AI 分野の報奨金は高騰する一方、Web2.0 のコモディティな脆弱性は単価が下落傾向にあります。
🇺🇸 Bugcrowd
- テーマ
- 「ハードウェア/IoT の回帰」と「API セキュリティの成熟」
- 概要
- 「Inside the Mind of a Hacker/CISO 2025」レポート等で、ハードウェアや IoT 関連の脆弱性が再びスポットライトを浴びていると報告されています(ハードウェア脆弱性の報告が88%増)。
- API の変化
- API の Critical な脆弱性は25%減少しており、開発側のセキュリティ成熟度が向上した一方で、複雑化による「アクセス制御の不備」が爆発的に増加しました。
- サプライチェーン
- サードパーティやサプライチェーンリスクへの注目が高まり、これらに対するレッドチーミングの需要が増加しました。
🇧🇪 Intigriti / 🇫🇷 YesWeHack
- 概要
- 両社とも欧州を拠点とし、GDPR や NIS2 指令(EU のサイバーセキュリティ指令)へのコンプライアンス需要を背景に成長を続けています。
- コミュニティとライブハッキング
- 物理的なイベント(Live Hacking Events)やコミュニティ支援に強く、特に Intigriti は「Ethical Hacking Report」などを通じて、ハッカーの教育や法的な保護(Safe Harbor)の重要性を啓蒙しています。
- コンプライアンス主導
- 企業が法規制対応の一環として VDP(脆弱性開示プログラム)やバグバウンティを導入するケースが増加しており、特に欧州市場でその受け皿となっています。
🌍 バグバウンティ業界の AI 分析
2025年の業界全体を貫くキーワードは、「自動化と人間の知性の役割分担」です。
① AI と「バイオニック・ハッカー」の定着
バグハンターの約7割が AI ツールを日常的に使用しています。偵察(Recon)や単純なスクリプト作成は AI や Hackbot に任せ、人間はより高度な「文脈理解」が必要な部分に集中するようになりました。
- Hackbot の役割: XSS のような単純なパターンマッチングはボットが処理する割合が増えています。
② 脆弱性トレンドのシフト(Injection から Logic へ)
かつてバグバウンティの代名詞だった XSS や SQLi は、フレームワークの進化や AI スキャナによって「コモディティ化(陳腐化)」しています。
- 増加: IDOR、認可不備、ビジネスロジックエラーなどは自動検知が難しく、人間による深い理解が必要なため、報奨金および報告数が増加傾向にあります。
- 減少: SQLi などの古典的な脆弱性は減少傾向です。
③ プロフェッショナル化と防御側の成熟
企業(防御側)のレベルが上がり、単純なバグはリリース前に潰されるようになりました。そのため、バグハンターには「開発者以上の製品知識」や「複雑な攻撃チェーンの構築能力」が求められています。
また、企業側もバグバウンティを単なる「バグ取り」ではなく、RoM(軽減された損失額)という指標を用いて、経営的なリスク管理手段として評価するようになっています。
国際的なバグバウンティ制度の活用状況について(2025年)
6. 終わりに
本稿では、2025年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10、そして AI によるバグバウンティ業界の傾向分析について紹介しました。
ここまでお読みいただきありがとうございました。
バグハンター実績を歓迎要件に含むセキュリティエンジニア求人のプチ調査
1. 始めに
こんにちは、morioka12 です。
本稿では、バグハンターやバグバウンティの経験・実績を歓迎要件等に含むセキュリティエンジニアの求人を調べてみた結果をまとめて紹介します。
背景としては、最近セキュリティエンジニアの求人を見かけた際に、以前より「バグバウンティ」や「バグハンター」というワードを含む求人が少し増えたような印象を持ったため、2025年の年末時点でどのくらいあるのかを雑に調べてみた感じです。
目次
2. 調査結果
簡単に調査した方法は、セキュリティエンジニアの求人の歓迎要件や歓迎経験に以下のキーワードが含まれているものを列挙しました。
- バグバウンティ
- バグハンター
- バグハント
- バグハンティング
- 脆弱性報告
- CVE 取得
※今回はあえて、個人活動で取り組める範囲外である「脆弱性診断やペネトレーションテスト」といった業務経験のみの求人、「資格取得」のみの求人は省いています。
事業会社の求人
- ソフトバンク株式会社
- バグバウンティ/CTFなどの参加経験や成果
- 株式会社SmartHR
- CVE取得やバグバウンティにおけるリワード取得経験
- Sansan株式会社
- バグハンターとしての実績
- 株式会社ワンキャリア
- バグハンターとしての実績
- サイボウズ株式会社
- 脆弱性の報告やCVEの取得経験
- レバレジーズ株式会社
- CTF、バグバウンティの経験
- LINE Digital Frontier株式会社
- ハッキング大会受賞及びバグバウンティ経験
- 株式会社プレイド
- バグバウンティプログラム等を通じた脆弱性報告の経験
- ウェルスナビ株式会社
- バグバウンティなどで発見した脆弱性を報告した経験
- TIS株式会社
- バグハント/脆弱性報告実施経験
- 株式会社ビザスク
- バグハンティングまたはCVE取得の経験
- 株式会社GA technologies
- バグバウンティプログラム等での経験も可
- FinTech 企業
- バグバウンティなどで発見した脆弱性を報告した経験
セキュリティベンダーの求人
- GMOサイバーセキュリティ byイエラエ株式会社
- CTFやバグバウンティでの経験(3年以上)
- GMO Flatt Security株式会社
- CTFやバグバウンティの実績
- 株式会社リチェルカセキュリティ
- バグバウンティでの複数回の報酬獲得実績
- 株式会社SHIFT
- バグバウンティの成果実績
- 株式会社マスラボ
- CTFやセキュリティキャンプ、バグバウンティへの参加
- 株式会社エヌ・エフ・ラボラトリーズ
- バグバウンティや脆弱性発見・報告経験
まとめ
調査結果としては、現在「19件」の求人を発見しました。
また、バグハンティングのスキルは、特に以下のような分類で業務に活かせることが期待できます。
- 事業会社のセキュリティエンジニア
- 脆弱性診断の実施、攻撃者視点によるリスク分析、設計・要件レビュー
- 内製診断基盤の構築と支援、診断ツールのメンテナンス
- 脆弱性情報の収集と検証
- バグバウンティや外部評価の企画と管理
- PSIRT, RedTeam
- セキュリティベンダーのセキュリティエンジニア
- 脆弱性診断
- ペネトレーションテスト
- セキュリティ技術研究
- 診断ツールの開発
3. その他
イベント「P3NFEST 2026」
ブログ「新卒の学生によるセキュリティエンジニア志望の就活話」
4. 終わりに
本稿では、バグハンターやバグバウンティの経験・実績を歓迎要件等に含むセキュリティエンジニアの求人を調べてみた結果をまとめて紹介しました。
特に、バグハンティングなどに興味ある学生・社会人、セキュリティ担当者、海外バグハンターで日本で働きたい方などにちょっとしたキッカケになれば幸いです。
実践的なオフェンシブ視点やクリティカルシンキング(批判的思考)を持つ人材として、今後もピックアップしたキーワードの認知や需要が上がれば嬉しいなと、啓発している身として少し思いました。
また、「弊社も記載してます!採用募集してます!」って方は、ぜひコメントや DM 等で教えてください(追記します)。
ここまでお読みいただきありがとうございました。
クリティカルシンキング(批判的思考):前提や常識を疑い、物事を多角的に分析する思考法
→バグハンターにおける:単にソフトウェアの欠陥を見つけるだけでなく、システム全体を深く理解し、既知の脆弱性の範囲を超えた、より巧妙で影響の大きい脆弱性を発見するための重要な思考プロセス
国際的なバグバウンティ制度の活用状況について(2025年)
1. 始めに
こんにちは、morioka12 です。
本稿では、サイバーセキュリティの取り組みの一環で、バグバウンティ制度の活用状況について紹介します。
なお、本内容はここ最近で、バグハンター視点の話だけでなく、「バグバウンティプラットフォームを活用する事業者の話」や「社内バグバウンティ制度」について聞かれることが増えたため、自分なりに気になる点を少し整理してみた内容です。
目次
- 1. 始めに
- 2. バグバウンティとは
- 3. 各国のバグバウンティ状況
- 4. バグバウンティと脆弱性診断の実施状況
- 5. バグバウンティの投資対効果
- 6. 社内バグバウンティ制度
- 7. その他
- 8. 終わりに
想定読者
- バグバウンティ(脆弱性報酬金制度)に興味ある方
- 特に事業者でセキュリティ担当の方
- バグハンターやバグハンティングに興味ある方
- 脆弱性診断に関わる方
2. バグバウンティとは
バグバウンティ (Bug Bounty, 脆弱性報奨金制度)とは、Web サービスやスマホアプリなどのプロダクトを提供する企業が、外部のバグハンターの力を借りて対象の脆弱性を発見してもらい、その対価として報奨金がバグハンターに支払われる制度のことです。
バグバウンティは、バグバウンティプラットフォームを導入したり、自社で脆弱性報告窓口を設置して受け付けることなどで実施されます。
有名なバグバウンティプラットフォームとしては、HackerOne・Bugcrowd・Intigriti などがあり、日本では IssueHunt という国産プラットフォームも存在します。
自社スタイルとしては、サイボウズ や Sky が自社でバグバウンティプログラムを運用していたり、NTTコミュニケーションズ は社内限定でバグバウンティプログラムを実施していたりします。
バグバウンティプラットフォーム
バグバウンティプラットフォーム (Bug Bounty Platform)とは、企業が自社のサービスに存在する脆弱性を発見・報告してくれるバグハンターと、その企業を仲介するオンラインサービスです。
企業はバグバウンティプラットフォームを活用することで、世界中のバグハンターにセキュリティテストを委託でき、脆弱性を効率的かつ低コストで発見できます。
バグバウンティプラットフォームは2010年代から始まったサービスで、具体的には以下の年からサービス提供されています。
| プラットフォーム | 国 | サービス開始 | 主な日本企業 (パブリックプログラムのみ) |
|---|---|---|---|
| HackerOne | アメリカ | 2012年 | ピクシブ, LINEヤフー, 任天堂, トヨタ自動車, スターバックスコーヒージャパン |
| Bugcrowd | アメリカ | 2012年 | 楽天グループ, マネーツリー |
| Synack | アメリカ | 2013年 | |
| YesWeHack | フランス | 2015年 | KOMOJU |
| Intigriti | ベルギー | 2016年 | |
| IssueHunt | 日本 | 2022年 | コインチェック, ソラコム, サイバーエージェント, Finatextグループ, ヌーラボ |
ちなみに、以下は各プラットフォームのファーストビューのキャッチコピーです。
- HackerOne
- 「最後の防衛線 他の対策では見逃される、新たな、そして捉えどころのない脆弱性を発見します」
- Bugcrowd
- 「信頼できるハッカーを活性化して攻撃対象領域を防御」
- Synack
- 「継続的かつスケーラブルな侵入テストの提供」
- YesWeHack
- 「セキュリティスタックの中で最も費用対効果の高いレイヤー」
- Intigriti
- 「倫理的なハッカーの専門家コミュニティを利用して資産を保護します」
- IssueHunt
- 「完全成果報酬型で、コスパ抜群の脆弱性診断」
企業がバグバウンティを実施したい場合は、バグバウンティプラットフォームを活用することで、効率的にバグハンターに自社のバグバウンティプログラムを周知して参加しやすくなり、面倒なコミュニケーションやトリアージなどのコストを軽減して運用を効率化することができます。
3. 各国のバグバウンティ状況
アメリカ 🇺🇸
アメリカでは、政府機関が積極的にバグバウンティを取り入れています。
その代表的な事例は、米国防総省(DoD)が2016年に実施した「Hack the Pentagon」で、この実験的な取り組みは成功を収め、その後も継続的に行われています。ちなみに、2016年から2024年の間で、5万件を超える脆弱性が報告されてリスク排除したという報道もあります。
また、米国政府の内部セキュリティ基準である「NIST SP 800-53」でも、バグバウンティプログラムの実施が推奨されるなど、政府レベルで脆弱性対策の一環として認識されています。NIST SP 800-53 とは、米国政府内の情報システムをより安全なものにして効果的にリスク管理するためのガイドラインで、民間も準拠することを推奨しています。
NIST SP 800-53: RA-5 脆弱性監視およびスキャン
外部のセキュリティ研究者による発見された脆弱性の報告をさらに促すため、組織は報奨金制度(「バグバウンティ」としても知られる)を利用する場合もあります。バグバウンティプログラムは、組織のニーズに合わせて調整できます。報奨金は無期限、または期間限定で運用することが可能で、一般公開することも、特定のグループに限定して提供することもできます。組織は、公開と非公開の報奨金制度を同時に運用することや、特定の参加者に部分的な認証情報へのアクセスを許可することで、特権的な視点からセキュリティの脆弱性を評価することもできます。
ちなみに、NIST サイバーセキュリティフレームワーク(CSF)では、5つの主要な機能(Identify, Protect, Detect, Respond, Recover)を定めており、バグバウンティ制度は以下の3つの点に関わっています。
- Identify(特定)
- バグバウンティは、外部のバグハンターの力を借りて脆弱性を特定し、潜在的なリスクを評価することができます。
- Detect(検知)
- バグバウンティは、一次的な脆弱性診断では見落とされがちな脆弱性を、継続的かつタイムリーに検知することができます。
- Respond(対応)
- バグバウンティを通じて報告された脆弱性は、サイバーインシデントの「予防」として機能するため、報告された脆弱性を迅速に検証し、修正するプロセスは、応答計画の重要な要素です。
欧州連合(EU)🇪🇺
EU 全体では、サイバーレジリエンス法(Cyber Resilience Act, CRA)が2024年12月に施行され、デジタル製品のメーカーに脆弱性対策を義務付け、脆弱性情報を欧州連合サイバーセキュリティ機関(ENISA)に報告することを求めています。これにより、各国の取り組みを法的に後押しするものとなっています。
Cyber Resilience Act: Bug Bounty
デジタル要素を備えた広く使用されている製品の悪用可能な脆弱性に関する情報が闇市場で高値で売買される可能性があることを踏まえ、そのような製品の製造業者は、調整された脆弱性開示ポリシーの一環として、個人または団体がその努力に対して認識と補償を確実に受けられるようにすることで、脆弱性の報告を奨励するプログラムを使用できるべきである。
また、EU の執行機関は、2019年から EU 内のサーバーやシステムで使用されるオープンソース資産の強化を目的としたバグバウンティプログラムを実施してきました。
そして、2025年に拡大された取り組みを再開するため、新たな入札が開始され、YesWeHack が4年間のフレームワーク契約を締結しました。
YesWeHack、欧州委員会における最新のバグバウンティ入札を獲得
フランス 🇫🇷
フランス政府は、公的なサービスのセキュリティ向上にバグバウンティを積極的に活用しています。
例えば、公務員専用のチャットアプリ「Tchap」や、デジタル身分証明書の脆弱性発見に対して、バグバウンティプログラムを実施しています。
シンガポール 🇸🇬
シンガポールは、国家レベルでサイバーセキュリティを最優先事項の一つとしており、政府機関や重要インフラを対象としたバグバウンティを積極的に実施しています。
シンガポール政府は、シンガポール国防省(MINDEF)やシンガポール政府機関(GovTech)が過去にバグバウンティプログラムを HackerOne や YesWeHack と連携して実施していました。
日本 🇯🇵
日本では、企業による脆弱性報奨金制度の導入は進みつつありますが、まだ他国に比べてそれほど一般的ではありません。
ちなみに、デジタル庁が公開している「政府情報システムにおける脆弱性診断導入ガイドライン」には、以下のような記載があり、これは「脆弱性報奨金制度により想定外の脆弱性を検出することができる」とも言えます。
想定外の脆弱性(Ā)対策には、脆弱性報奨金制度により未知の脆弱性の検出を試みること等が挙げられる
その他
国際的な統一セキュリティ基準である「PCI DSS」でも、重要なセキュリティ要件を満たすための効果的な手段として、バグバウンティの実施が推奨されています。
- 社内ソフトウェアの脆弱性評価
- PCI-DSS 4.0 / 6.3.1 では、社内開発ソフトウェアの脆弱性評価のための潜在的なソリューションとしてバグバウンティを推奨しています。
- 公開脆弱性報告
- PCI の Mobile Payment on COTS (MPoC) v1.0.1 要件 A.4.2.1、D.2.1.4、および D.4.2.1 では、セキュリティテストおよび報告のオプションとしてバグバウンティが提案されています。
4. バグバウンティと脆弱性診断の実施状況
よくバグバウンティと脆弱性診断の実施を対にして考えている方がいますが、「セキュリティリスクを排除する(脆弱性を発見して修正する)」という意味合いでは同じでも、用途や特徴が異なります。
| 特徴 | バグバウンティ (Bug Bounty) | 脆弱性診断 (Vulnerability Assessment) |
|---|---|---|
| 目的 | 広範な観点から未知の脆弱性を探索・発見する | 網羅的なチェックリストに基づいて想定される脆弱性を洗い出す |
| 実施主体 | 企業と提携する不特定のバグハンター | 契約した特定のセキュリティベンダーのエンジニア |
| 実施担当 | 多数のバグハンター (多角的な視点) | 数名(1~3名)のセキュリティエンジニア |
| 実施期間 | 継続的なことが多い | 限定的(数日から数週間) |
| 費用モデル | 成果報酬型(見つかった脆弱性の数と深刻度に応じて支払い) | 時間・定額制(契約した期間や範囲に応じて固定料金) |
| 開発プロセス | リリース後・運用時 | リリース前・テスト時 |
このように、目的や実施状況が異なるため、どちらかで十分ということでもありません。
海外でもバグバウンティと脆弱性診断(ペネトレーションテスト)は、異なる用途として実施していることが多いです。
包括的なセキュリティテストを行うにはバグバウンティを実施し、セキュリティテストの保証が必要な対象がある場合はその点に絞ってペンテストを実施します。
Bugcrowd のお客様で、ペネトレーションテストとバグバウンティプログラムを組み合わせてご利用いただくと、標準的なペネトレーションテストのみの場合と比較して、影響の大きい脆弱性を平均3~5倍多く発見でき、脆弱性1件あたりのコストを大幅に削減できます。
例えば、コンプライアンスを確保し、業界のベストプラクティスに準拠するために、ペネトレーションテストを包括的な年次評価に活用する一方で、新たな脅威への継続的な警戒を維持するために、年間を通してバグバウンティプログラムを実施するといったことが考えられます。
費用面
また、よく聞かれることとしては、報奨金の予算と設定などの費用面です。
企業は、自社のセキュリティ予算と、脆弱性によるビジネスリスクをどの程度許容するかを考慮して報奨金額を設定し、以下のようにバグバウンティプログラムを制御する方法があります。
- まず今期のバグバウンティの予算上限額を決める。
- 脆弱性の危険度に合わせて報奨金額を設定し、バグバウンティプログラムを開始する。
- バグハンターに対して報奨金の支払い額が予算額を超えそうになったら、バグバウンティプログラムを一時停止(休止)する。
- また来期の予算のタイミングでバグバウンティプログラムの実施を検討する。
ちなみに、報奨金額の設定が低すぎる場合、優秀なバグハンターが集まりづらい現象が起こる可能性があるため、一般的な金額感から設定することをオススメします。
個人的には、バグバウンティプログラムにもメリハリがあるとバグハンター側も取り組むキッカケやモチベーション上げに繋がると思うため、期間限定イベントや期間限定ボーナスなどの実施もあるとより効果的な気がします。
プチ整理
- バグバウンティ
- 幅広い視野で継続的に脆弱性を探すための仕組み(能動的・継続的な探索)
- 脆弱性診断
- 特定の対象を深く、網羅的にチェックするための仕組み(計画的・体系的なチェック)
個人的には、これらの両方を役割ごとに正しく効果を認識し、組み合わせることが攻めの視点で効果的な取り組みと言えると思います。
企業のセキュリティ担当者は、よく守りのセキュリティ視点は優先的に補ていることが多いですが、攻めのセキュリティ視点は知見不足やリソース不足で補えないことが多いため、バグバウンティによる外部の力を借りてそれらを少しでも補うことが可能になると思います。
5. バグバウンティの投資対効果
投資対効果(ROI)は、企業が予算を使ってサイバーセキュリティの一環として取り組む上で、一つの指標となります。
バグバウンティの ROI は、単に支払った報奨金と発見された脆弱性の数を比較するだけでは難しい(測れない)場合があります。
例えば、以下のような構成要素があります。
- 経済的な効果
- 脆弱性診断との比較:脆弱性診断は期間や範囲に応じて高額な固定料金が発生します。一方、バグバウンティは有効な脆弱性が見つかった場合にのみ報酬を支払う成果報酬型なため、コストを抑えやすい傾向があります。
- インシデント対応コストの回避:深刻な脆弱性が悪用され、情報漏洩やサービス停止などのインシデントが発生した場合、企業は多大な損害を被ります。バグバウンティは、これらのリスクを未然に防ぐ「保険」として機能します。
- リスク管理の効果
- 多角的な視点:世界中の多様なスキルを持つバグハンターが参加することで、予期せぬ幅広い脆弱性を発見できます。
- 継続的な監視:バグバウンティは継続的に実施されるため、アップデートに伴う新しい脆弱性にも迅速に対応できます。
- 戦略的な効果
- ブランドと信頼の向上:バグバウンティプログラムの公開は、企業がセキュリティに真剣に取り組んでいる姿勢を顧客や投資家に示します。これにより、ブランドイメージと信頼性が向上し、長期的なビジネス価値に繋がります。
- セキュリティ人材の獲得:バグバウンティプラットフォームは、優秀なセキュリティ専門家との関係を築くためのチャネルとなります。これにより、将来的な採用や外部協力者とのネットワーク構築にも貢献します。
各バグバウンティプラットフォームの投資対効果論
プチ整理
バグバウンティは、適切に管理されれば、単なるコストではなく、企業のセキュリティ体制を強化し、ブランド価値を高めるための有効な「投資」であると言えます。
これらは、各企業のセキュリティ意識やセキュリティ予算、会社の事業フェーズによって異なる判断になるため、それぞれの立場で検討してみることをオススメします。
また、個人的には、SBOM などのセキュリティ管理製品と似たような運用効果があるとも少し思いました。
- 脆弱性の特定
- SBOM:ソフトウェアを構成するコンポーネントを一覧化することで、継続的に既知の脆弱性を特定します。
- バグバウンティ:外部のバグハンターの力を借りて、継続的に未知の脆弱性を特定します。
- リスクの管理
- SBOM:定期的に SBOM を更新してデータベースと照合することで、新しい既知の脆弱性に迅速に対応できます。
- バグバウンティ:攻撃者の視点からプロダクトをセキュリティテストすることで、理論上のリスクだけでなく、実環境でのリスクを対応できます。
6. 社内バグバウンティ制度
社内バグバウンティ制度とは、外部のバグハンターではなく、自社の従業員を対象として実施されるバグバウンティプログラムで、従業員が自社サービスの脆弱性を発見・報告することで、報奨金を受け取ることができます。
- 目的
- 自社サービスのセキュリティレベル向上
- 社員のセキュリティ意識向上と技術力の育成
このような取り組みは、セキュリティを専門としない部署の社員も巻き込むことで、全社的なセキュリティ文化を醸成する効果も期待されています。
日本企業で有名な社内バグバウンティ制度の導入事例としては、NTT Com があります。
また、社内バグバウンティはセキュリティチャンピオンのような制度として、エンジニアがセキュリティへのキャリアパスやモチベーションのキッカケにも繋がるため、良い機会でもあるとも思います。
さらには、成果が報奨金として得ることができるため、取り組みが評価される仕組みを良い点と言えます。
(既に、とある企業のセキュリティ担当者から「社内バグバウンティ制度」を一次的な社内イベントとして実施してみたいというご相談話も頂いたりして、教育とセットで援助したり実施したりもしました。)
7. その他
AI/LLM におけるバグバウンティ
最近では AI/LLM 周りにおけるバグバウンティプログラムも開始されるようになりました。
実際に、Google が Gemini や NotebookLM などの AI 製品に対するバグバウンティプログラムを開始したり、Microsoft が Copilot に対するバグバウンティプログラムを開始したりしています。
ちなみに、OpenAI や Anthropic などもバグバウンティプログラムを開始しています。
また、huntr という AI/ML 向けバグバウンティプラットフォームも存在します。
海外バグバウンティプラットフォームの日本進出
HackerOne は、2025年9月に日本市場への本格参入を発表しました。
また、プライバシーテック領域をリードする Priv Tech が、昨年の2024年に HackerOne や Bugcrowd とパートナーシップを締結しているそうです。
個人的には、海外のバグバウンティ文化が日本でも広がりを見せており、ポジティブな印象を持っています。
バグハンター視点の話・醍醐味
その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味 | レバテックラボ(レバテックLAB)
8. 終わりに
本稿では、サイバーセキュリティの取り組みの一環で、バグバウンティ制度の活用状況について紹介しました。
個人の感想(まとめ)
バグバウンティプラットフォームの活用
- 多数のバグハンターにより、期間が絞られた一次的な脆弱性診断では検知が難しい脆弱性を発見して修正できるため、継続的なリスク排除施策として良い取り組みだと思います。
- 開発プロセスごとに「リリース前に脆弱性診断の限定実施」 → 「リリース後にバグバウンティの継続実施」という分け方で認識して、未知の脆弱性まで排除できる体制を取り入れてみると良さそうと思います。
- バグハンターの取り組みの成果対価として、ある程度の報奨金額を設定することで、モチベーションの高いバグハンターが取り組みやすくなるため、適切な報奨金額を設定することをオススメします。
社内バグバウンティ制度
- セキュリティ分野へのキャリアアップのきっかけや、セキュリティ文化の浸透などの点で、良い取り組みだと思います。
- 正しくリスクを認識する意味合いで、社内で守りのセキュリティ視点を持つ者だけでなく、攻めのセキュリティ視点を持つ者が増えることは良い傾向だと思います。
- 社内イベント感覚で、期間限定かつ報奨金付きで実施する方が、参加者側も運営側もやりやすいと思います。
- セキュリティ教育(バグハンティングやセキュア開発)もセットで実施することがより効果的な施策だと思います。
ここまでお読みいただきありがとうございました。
バグバウンティハンターにおけるタイプと好みとAIについて
1. 始めに
こんにちは、morioka12 です。
本稿では、バグバウンティプラットフォームで脆弱性を探す「バグバウンティハンター(Bug Bounty Hunter)」におけるタイプと好みと AI について紹介します。
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
想定読者
- バグバウンティ(脆弱性報酬金制度)に興味ある方
- バグハンターやバグハンティングに興味ある方
- 脆弱性診断やペネトレーションテストなどに興味がある方
特に、バグバウンティに興味ある入門者や初心者に向けて、バグバウンティハンターについて整理した内容になります。
前提知識
バグバウンティとは (クリックで表示)
バグバウンティ (Bug Bounty, 脆弱性報奨金制度)とは、Web サービスやスマホアプリなどを提供する企業が、外部のバグハンターの力を借りて対象の脆弱性を発見してもらい、その対価として報奨金がバグハンターに支払われる制度のことです。
バグバウンティは、バグバウンティプラットフォームを導入したり、自社で脆弱性報告窓口を設置して受け付けることなどで実施されます。
有名なバグバウンティプラットフォームとしては、HackerOne・Bugcrowd・Intigriti などがあり、日本では IssueHunt という国産プラットフォームも存在します。
自社スタイルとしては、サイボウズ や Sky が自社でバグバウンティプログラムを運用していたり、NTTコミュニケーションズ は社内限定でバグバウンティプログラムを実施していたりします。
また、バグバウンティ系のイベントとしては、IssueHunt が「P3NFEST」という学生向けのイベントを開催したり、千葉大学が「セキュリティバグハンティングコンテスト」というコンテストを開催したり、電気通信大学が「UEC Bug Bounty」という大会を学内で実施したりしています。
バグバウンティハンターとは (クリックで表示)
- バグハンティング (Bug Hunting)
- 脆弱性を調査して報告する活動のこと。
- バグハンター (Bug Hunter)
- 脆弱性を調査して報告する人のこと。
- バグバウンティハンター (Bug Bounty Hunter)
- バグバウンティプログラムを対象に脆弱性を調査して報告し、対価で報奨金を獲得する人のこと。
2. バグバウンティハンターのタイプについて
元ネタ「Where to get started in bug bounty」
このセクションでは、バグバウンティハンターで著名な「Justin @Rhynorater」さんが公開するブログをもとに、筆者自身の経験も踏まえて紹介します。
また、前提として基本的には、Web サイトや Web アプリケーションなどのドメインを対象に、ブラックボックス形式でのバグハンティングとします。
バグバウンティハンターのタイプ
バグバウンティハンターには、主に3つのタイプがあります。
- 深掘タイプのバグバウンティハンター (Deep type)
- 幅広タイプのバグバウンティハンター (Wide type)
- 両者タイプのバグバウンティハンター (Both type)
深掘タイプ (Deep type)
深掘タイプ(Deep type)とは、いくつかのコアなアプリケーションをターゲットとして、それらを重点的に深く調査するタイプを指します。
ターゲット
深掘タイプの主なターゲットは、企業の主力サービスをメインに調査することが多いです。
例えば、以下のようなキーワードがサブドメイン名に付くターゲットなどが、主力サービスや多様な機能を備えている場合があります。
- www
- app
- shop
- developer
- ...
スコープを見た際に一番わかりやすい判断軸は、スコープの中で報酬金が高く設定されている対象は企業が最も気にしているターゲットということになります。
アプローチ
深掘タイプの主なアプローチは、一つのターゲットに対してじっくりとアプリケーションを理解して、深く細かい点まで時間をかけてターゲットを把握します。
まず、アプリケーションの仕様や機能を理解するために、以下のような初期調査を実施します。
- アプリケーションを動的に触りながら理解する
- アプリケーションに関するドキュメントや仕様書を読んで理解する
- JavaScript ファイルを収集してエンドポイントやパラメーターなどをホワイトボックス形式で確認する
- Google Dorks や Wayback Machine からアーカイブ情報を参照して手軽にエンドポイントやファイルなどを確認する
- ...
このようにアプリケーションから得れる情報を隅々まで確認した上で、怪しい挙動や脆弱性を検証していきます。
目的思考
深掘タイプの主な目的思考は、アプリケーションで何かしらの目的となるゴールをイメージした上で、そのゴール達成できる脆弱性や脅威の高い脆弱性を発見することにフォーカスします。
脅威の高い脆弱性には、単一の脆弱性で達成できる場合や複数の脆弱性を組み合わせることで達成できる場合など、様々な達成方法があります。
また、Self XSS や Open Redirect、Cookie Injection などの挙動をガジェットとしてメモして、他の脆弱性と組み合わせたりすることで脅威の高い脆弱性を編み出すといった手法もあります。(バグバウンティにおけるガジェットやエスカレーションについてはまた別途ブログで公開するつもりです。)
脆弱性
深掘タイプが主に発見する脆弱性は、先ほどの目的思考により、例えば以下のような脆弱性が発見される可能性があります。
- XSS によるアカウントの乗っ取り
- OAuth や SSO の設定ミスによるアカウントの乗っ取り
- IDOR によるアカウント情報の漏洩
- SSRF による機密情報の漏洩
- ビジネスロジックの不備
- 決済処理の回避
- RCE
以上が、深掘タイプのバグバウンティハンター(Deep type)の特徴でした。
幅広タイプ (Wide type)
幅広タイプ(Wide type)とは、スコープ内の全てのドメインに対して偵察を行なって、スコープ全体を広く調査するタイプを指します。
ターゲット
幅広タイプの主なターゲットは、スコープ内の全てのドメインに対して幅広く調査します。
特に、企業の非主力サービスや過去に使われていただろうサブドメインなど、見落とされているようなドメインを調査することが多いです。
これには、サブドメインを列挙する「Subfinder」のようなツールを用いて徹底的に隅々までターゲットのドメインを列挙します。
アプローチ
幅広タイプの主なアプローチは、ツールによる偵察(Recon)を徹底的に行います。
偵察(Recon)とは、初期調査で実施する一つのテクニックで、ツールを活用してターゲットから得れるシステム情報などを収集します。
主に、以下のような情報を収集したりして、見逃されている領域に対して脆弱性を探したりします。
- サブドメインの列挙
- ポート番号の列挙
- ディレクトリパスの列挙
- パラメーターの列挙
- サーバー情報の収集
- 既知の脆弱性(CVE)のスキャン
- ...
これらの情報収集は、OSINT ツールやスキャンツールなどを用いて独自のスクリプトを作成したりすることで、一定の自動化に取り組んでいることも多かったりします。
その上で、直接的に脆弱性になりそうなものは指摘し、怪しい箇所に対しては手動で検証したりします。
目的思考
幅広タイプの主な目的思考は、より効率的に情報収集や怪しいターゲットの洗い出すことで、他のハンターが見逃しているだろう領域から脆弱性を発見することがあります。
そのため、主力サービスではない数多くのドメインを主軸として調査します。
脆弱性
幅広タイプが主に発見する脆弱性は、先ほどの目的思考により、例えば以下のような脆弱性が発見される可能性があります。
- XSS や SQLi などの基本的な脆弱性
- 顧客情報を含む PDF ファイル等の漏洩
- 設定不備による管理画面への不正アクセス
- ハードコードされた認証情報の漏洩
- サブドメインの乗っ取り
- CMS やフレームワークなどのサードパーティの既知の脆弱性
- WordPress, Swagger UI, Cisco, Windows IIS, ...
以上が、幅広タイプのバグバウンティハンター(Wide type)の特徴でした。
両者タイプ (Both type)
両者タイプ(Both type)とは、深掘タイプと幅広タイプの両方を神懸かるレベルでこなせるタイプを指します。
多くのバグバウンティハンターは、深掘タイプと幅広タイプのどちらかに重点を置くことが多いのに対して、両者タイプはどちらも高い能力を持っている方のみを指します。
研究タイプ (Research type)
ちなみに、高度で特殊な能力を持つセキュリティリサーチャーもいたりします。
研究タイプは、0-day Bug Hunter の方が意味合いは近く、RCE や CWE (Common Weakness Enumeration, 共通脆弱性タイプ)に分類することが難しい脆弱性を発見したりします。
小まとめ
ここでは、「深掘タイプ」と「幅広タイプ」に関する特徴を紹介しました。
バグバウンティハンターのタイプには、その人の好みのアプローチによって相性があったりします。
例えば、Hack The Box や OSINT 、自動化などが好きな方は、「幅広タイプ」の方が相性は良いと思います。
逆に、「幅広タイプ」ではなく、Web アプリの仕様を深掘ったり、JavaScript を読んだりして脆弱性を探す方が良い方は、「深掘タイプ」の方が相性は良いと思います。
ちなみに、筆者はどちらかというと「深堀タイプ」の方で、オススメも「深堀タイプ」の方です。
3. バグバウンティハンターの好みの脆弱性について
バグバウンティハンターには、それぞれ好みの脆弱性があったりします。
大きく分けると、「フロントエンド寄りの脆弱性」と「バックエンド寄りの脆弱性」があると思います。
実際に、2024年の「Bug Bounty Top 10 Vulnerability Types」では、以下のようなランキングがあります。
- Cross-Site Scripting (XSS)
- Information Disclosure
- Improper Access Control
- Misconfiguration
- Insecure Direct Object Reference (IDOR)
- Improper Authentication
- Privilege Escalation
- Open Redirect
- Business Logic Errors
- SQL Injection
詳しくは、以下のブログをご覧ください。
ちなみに、以前の日本人バグハンター11人にインタビューした「好きな脆弱性」の項目では、以下のように様々な回答がありました。
- Open Redirect と Client Side Path Traversal を組み合わせた XSS
- 発見に手間がかかるような複雑なもの
- サニタイザーやサンドボックスなどの回避が可能な脆弱性
- XSS
- XSS
- サイト間の連携処理に潜む脆弱性
- XSS とプロトコルや仕様の組み合わせで発生する脆弱性
- 複数のシステムが連携した際に解釈の違いから生まれる Smuggling Attack や Desync Attack
- Open Redirect
- SSRF や LFI のようなサーバー側のリソースにアクセスできる類の脆弱性
- レースコンディション
詳しくは、以下のブログをご覧ください。
小まとめ
これらの情報を踏まえて、バグバウンティハンターは「深掘タイプ」と「幅広タイプ」の2つのタイプがあると紹介しましたが、さらに脆弱性の好みもあることがわかると思います。
バグバウンティは、脆弱性診断のようにある程度の網羅性が求められるわけではなく、他のバグバウンティハンターがまだ見つけられていない脆弱性を見つけられるか、そして如何に脅威の高い脆弱性を示せるかが肝になります。
そのため、入門者や初心者の方は、自分自身の好みや能力を分析して、どのタイプのアプローチを極めると良さそうか、どのタイプの脆弱性を探す知見を蓄えると良さそうか、などを整理してみると良いと思います。
その結果、自分の強みとなるスキルをさらに向上させることができ、そのうち結果にも良き影響が出てくると思います。
ちなみに、脆弱性の概要を学習する際は、「Web Security Academy」や「PentesterLab」などの学習コンテンツから学ぶことをオススメします。
4. バグバウンティハンターと AI について
AI ツール
近年、生成 AI / LLM は、凄まじい発展を遂げていますが、バグバウンティ業界にも影響を与えています。
バグバウンティにおける LLM の活用事例については、別途ブログで公開していますが、偵察や解析の手助けとして使える AI ツールは既に多く存在します。
特に、バグバウンティハンターにとって、AI ツールの活用は特に偵察(Recon)などを遥かに効率的&楽にすると思われます。
例えば、大規模なターゲットの JavaScript ファイルをダウンロードして LLM に解読させることで怪しいポイントなどを整理してくれたり、効率的なペイロードリストを生成してもらったりできます。
詳しくは、以下をご覧ください。
また、Burp Suite や Caido などのプロキシツールにも AI 機能が備わりつつあり、プロキシ内での機能の補助などで役に立っています。詳しくは、以下をご覧ください。
AI エージェント
ここで紹介する事例は、バグバウンティ業界に参入している AI エージェントについてです。
XBOW
少し前に海外で話題になりましたが、「XBOW」という Offensive Security AI エージェントが HackerOne の US ランキングで1位になったそうです。
HackerOne の US ランキングで Offensive Security AI エージェント「XBOW」が1位になったらしい... (去年の時点で11位だった) https://t.co/Kzm4HLKbMR
— morioka12 (@scgajge12) June 12, 2025
XBOW については、公式 Web ページや昨年の Bug Bounty Village でも Talk されているため、以下の YouTube 動画をご覧ください。(2024年8月時点)
Leveraging AI for Smarter Bug Bounties | Bug Bounty Village, DEF CON 32
上の動画内でも性能のベンチマーク等の話は紹介されていますが、細かいベンチマークの結果も以下のスプレッドシートで公開されています。
StealthNetAI
他にも、「StealthNetAI」といった AI エージェントもバグバウンティで動作検証を実施していたりするそうです。
Cybersecurity AI (CAI)
また、「CAI」というバグバウンティに対応した AI フレームワークも存在するそうです。
CAI は、単なるスキャナーではなく AI を活用した独自のバグバウンティアシスタントを構築できるプラットフォームで、実際に HackerOne のプログラムで API の脆弱性を検出した実績があるそうです。
このように、バグバウンティ業界でも AI エージェントによって発見された脆弱性の事例が登場しつつあります。
バグバウンティのプログラムで脆弱性を検出するということは、Hack The Box のようにあえて脆弱なやられ環境とは異なり、リアルワールドのサービスにおいて野良の脆弱性を検出していることを意味します。
しかし、脆弱性スキャナーで検出できるような脆弱性を AI エージェントでも検出できるようにはなってきていますが、まだアプリケーションの仕様や機能におけるロジックの不備、決済処理やアカウントの登録などの繊細な機能における脆弱性などは難しいように思われます。
そのため、近い将来は、「幅広タイプ」は AI エージェントで解決でき、「深掘タイプ」はまだ人間(バグバウンティハンター)の方が得意かもしれません。
これらを踏まえて、ぜひ rez0 さんの "This is How They Tell Me Bug Bounty Ends" のブログを読んでみてください。
このブログでは、高度な AI エージェントと、賢いオペレーター(バグバウンティハンター)が組み合わさって共存していくことを述べています。
では、バグバウンティは終焉を迎えたのでしょうか? まだです。 今日ではありません。 でもいつかは?ええ…私たちが知っているバグバウンティは、おそらく消滅するでしょう。
しかし、ハッカーの精神、アプローチ、物事の仕組みを理解し、それを破壊しようとする意欲は? それは生き続けます。永遠に繁栄し続けるでしょう。 そして、私たちはそこにいるでしょう。 システムを悪用する。 いつものように。
これは終わりではありません。 ただ、次のバージョンに過ぎません。 - ジョセフ
ぜひ、以下のブログをご覧ください。
5. その他
バグバウンティハンターの目的について
バグバウンティハンターがバグバウンティで脆弱性を探す目的(動機)としては、68%が「挑戦するため (To be challenged)」と答えています。
その次に、「お金稼ぎのため」「知見やテクニックの学びのため」「楽しむため」「キャリアアップのため」などが該当しています。
バグバウンティハンターについては、以下のブログをご覧ください。
実践的なバグバウンティ入門
以下のスライドは、「P3NFEST 2025 Winter」で行われたハンズオン講座の一般公開用スライドです。
Hack Fes. 2025
7/19(土)に秋葉原で日本ハッカー協会が主催する「Hack Fes. 2025」で「バグバウンティ入門講座」をやります。 (事前チケット購入制)
6. 終わりに
本稿では、バグバウンティプラットフォームで脆弱性を探す「バグバウンティハンター(Bug Bounty Hunter)」におけるタイプと好みと AI について紹介しました。
少しでも入門者や初心者などのバグバウンティハンターに対する整理した知見として参考になれば幸いです。
今後も、バグバウンティ業界における AI エージェントについてはキャッチアップしていければと思います。
ここまでお読みいただきありがとうございました。
