1. 始めに
こんにちは、morioka12 です。
本稿では、2025年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10、そして AI によるバグバウンティ業界の傾向分析について紹介します。
- 1. 始めに
- 2. Bug Bounty Top 10 Vulnerability Types
- 3. HackerOne Most Popular Votes Top 10
- 10位:Account takeover of existing HackerOne accounts through SCIM provisioning
- 9位:Shopify Partners Invitation Process Allows Privilege Escalation Without Email Verification
- 8位:sys_fsc2h_ctrl kernel stack free
- 7位:Arbitrary Read of Another Users private repository without Authorization
- 6位:DoS Vulnerability via Cache Poisoning on cdn.shopify.com and shopify-assets.shopifycdn.com
- 5位:0-Click Account Takeover via Password Reset [AUTH-3243] /orchestrator/v1/password_reset/start
- 4位:Disclosing PolicyPageAssetGroup in Private Programs via /graphql gid://hackerone/PolicyPageAssetGroupsIndex::PolicyPageAssetGroup/{id}
- 3位:Exposed proxy allows to access internal reddit domains
- 2位:The /reports/:id.json endpoint discloses potentially sensitive user attributes when reporter summary is present
- 1位:Account Takeover via Password Reset without user interactions
- ランキング表
- 4. その他
- 6. 終わりに
お知らせ
【公開】Zenn Book『30日でCVE取得! OSSバグハント入門』
本書は、Web セキュリティの基礎を一通り学び終えた方が、実際に「CVE 番号の取得」というリアルワールドな成果を初めて手にするための、体系的かつ実践的なバグハント入門ガイド本です。
【予告】Zenn Book『脱初心者のための実践バグバウンティ登竜門』
本書は、バグバウンティにおける実践的なバグハンティング(脆弱性探し)のスキルを入門レベルからさらに高めたい方への脱初心者向けまとめ本です。
2. Bug Bounty Top 10 Vulnerability Types
ここでは、2025年のバグバウンティプラットフォームにおける脆弱性 Top 10 について紹介します。
HackerOne
- Cross-Site Scripting (XSS)
- Improper Access Control (IAC)
- Information Disclosure
- Misconfiguration
- Insecure Direct Object Reference (IDOR)
- Business Logic Errors
- Privilege Escalation
- Improper Authentication
- SQL Injection (SQLi)
- Improper Authorization
AI 分析
- 認証認可へのシフト
- XSS は依然として数は多いものの、バグハンターの関心は、より影響度の高い「認可の不備(IAC, IDOR)」や「ビジネスロジックエラー」などにシフトしています。
- AI の影響
- XSS や SQLi のようなパターン化しやすい脆弱性は、今後 Hackbot による自動検出が進み、人間のバグハンターにとっては価値が低くなると予測されています。
Bugcrowd
No data yet
Intigriti
No data yet
YesWeHack
No data yet
3. HackerOne Most Popular Votes Top 10
ここでは、2025年に HackerOne で開示された脆弱性報告の中で最も人気投票が多かった Top 10 について紹介します。
- 対象:2025年1月1日から2025年12月31日に HackerOne で公開された脆弱性レポート
10位:Account takeover of existing HackerOne accounts through SCIM provisioning
- Vote: 218
- Severity: High
- Weakness: Improper Access Control
- Bounty: Hidden
この報告は、HackerOne の SCIM(System for Cross-domain Identity Management)プロビジョニング機能において、ユーザー名とメールアドレスの処理に不備があり、攻撃者が外部の IdP を利用して、既存の HackerOne ユーザーのアカウントを乗っ取ることができる脆弱性が発見されました。
9位:Shopify Partners Invitation Process Allows Privilege Escalation Without Email Verification
- Vote: 223
- Severity: Medium
- Weakness: Improper Access Control
- Bounty: $3,500
この報告は、Shopify Partners プログラムへの招待プロセスにおいて、招待メールのリンク検証が必須ではなかったことに起因する脆弱性でした。これにより、既存のスタッフメンバー(攻撃者)が、招待中の「オーナー」のメールアドレスを悪用して勝手にアカウントを作成し、その招待を承諾することで、自身の権限を「オーナー」へと不正に昇格させることが可能でした。
8位:sys_fsc2h_ctrl kernel stack free
- Vote: 229
- Severity: High
- Weakness: Use After Free
- Bounty: $10,000
この報告は、PlayStation のカーネルにおけるシステムコール sys_fsc2h_ctrl に、メモリ管理の不整合に起因する脆弱性でした。特定の条件下で、ヒープ領域ではなく「カーネルスタック」上のメモリ領域を誤って free()(解放)してしまう問題です。
7位:Arbitrary Read of Another Users private repository without Authorization
- Vote: 239
- Severity: High
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: $10,000
この報告は、GitHub Enterprise Server(GHES)において、不適切なアクセス制御の脆弱性でした。これにより、攻撃者は自身がアクセス権を持つリポジトリと、ターゲットとなる被害者のプライベートリポジトリとの間で「差分(Diff)」を作成する機能を悪用し、権限がないにもかかわらず他者のプライベートリポジトリのコードの一部を読み取ることが可能でした。
6位:DoS Vulnerability via Cache Poisoning on cdn.shopify.com and shopify-assets.shopifycdn.com
- Vote: 248
- Severity: Medium
- Weakness: Cache Poisoning
- Bounty: $3,800
この報告は、Shopify の CDN サーバーにおいて、URL 内の「スラッシュ(/)」と「バックスラッシュ(\)」の扱いに不整合があったことが原因によるで、キャッシュポイズニングの脆弱性でした。
5位:0-Click Account Takeover via Password Reset [AUTH-3243] /orchestrator/v1/password_reset/start
- Vote: 253
- Severity: Critical
- Weakness: Improper Access Control
- Bounty: Hidden
この報告は、Remitly のパスワードリセット機能において、攻撃者が被害者の操作や同意を一切必要とせずに、任意のユーザーのパスワードをリセットし、アカウントを完全に乗っ取ることができる脆弱性でした。
4位:Disclosing PolicyPageAssetGroup in Private Programs via /graphql gid://hackerone/PolicyPageAssetGroupsIndex::PolicyPageAssetGroup/{id}
- Vote: 255
- Severity: Critical
- Weakness: None
- Bounty: $25,000
この報告は、HackerOne の GraphQL エンドポイントにおいて、IDOR の脆弱性が発見されました。認証されていないユーザーでも、特定の GraphQL クエリを使用し、ID を総当たりすることで、非公開のバグバウンティプログラムの情報や、それらのプログラムに属するレポートのタイトルを取得することが可能でした。
3位:Exposed proxy allows to access internal reddit domains
- Vote: 272
- Severity: High
- Weakness: Improper Access Control
- Bounty: $7,500
この報告は、Redditのインフラ設定ミスにより、特定の IP アドレスで稼働していたプロキシサーバーがインターネット上に意図せず公開されていました。このプロキシを経由することで、攻撃者は本来外部からアクセスできないはずの Reddit 内部の開発環境や、開発者が利用する個別のサービスインスタンスへアクセス可能な状態でした。
2位:The /reports/:id.json endpoint discloses potentially sensitive user attributes when reporter summary is present
- Vote: 594
- Severity: Critical
- Weakness: Information Disclosure
- Bounty: Hidden
この報告は、HackerOne 上で公開(Disclosed)されたレポートの .json エンドポイントにおいて、特定の条件下でレポーターの機密情報が意図せず漏洩していた脆弱性です。
1位:Account Takeover via Password Reset without user interactions
- Vote: 830
- Severity: Critical
- Weakness: Improper Access Control
- Bounty: $35,000
この報告は、GitLab のパスワードリセット機能において、リクエストパラメータを改ざんすることで、攻撃者が任意のユーザーのアカウントを乗っ取ることができる脆弱性でした。
ランキング表
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 830 | Improper Access Control | $35,000 | link |
| 2 | 594 | Information Disclosure | Hidden | link |
| 3 | 272 | Improper Access Control | $7,500 | link |
| 4 | 255 | None | $25,000 | link |
| 5 | 253 | Improper Access Control | Hidden | link |
| 6 | 248 | Cache Poisoning | $3,800 | link |
| 7 | 239 | IDOR | $10,000 | link |
| 8 | 229 | Use After Free | $10,000 | link |
| 9 | 223 | Improper Access Control | $3,500 | link |
| 10 | 218 | Improper Access Control | Hidden | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、GitLab からの「$35,000」でした。
4年間の高人気統計
- アクセス制御の不備(Improper Access Control, IDOR)
- 設定ミスによる情報開示(Information Disclosure, Misconfiguration)
- XSS, SSRF
- ビジネスロジックのエラー(Business Logic Errors)
- その他
- Remote File Inclusion, Path Traversal
- Command Injection
- Cache Poisoning
4. その他
過去の HackerOne Most Popular Votes Top 10
2024年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 308 | IDOR | Hidden | link |
| 2 | 301 | XSS | Hidden | link |
| 3 | 237 | Improper Access Control | $12,500 | link |
| 4 | 227 | Hard-coded | Hidden | link |
| 5 | 212 | Improper Null Termination | Hidden | link |
| 6 | 209 | IDOR | Hidden | link |
| 7 | 187 | Business Logic Errors | $2,000 | link |
| 8 | 182 | Improper Access Control | $25,000 | link |
| 9 | 174 | Buffer Overflow | $12,500 | link |
| 10 | 170 | XSS | $5,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$25,000」でした。
2023年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 676 | IDOR | $15,000 | link |
| 2 | 392 | Improper Access Control | $750 | link |
| 3 | 360 | Remote File Inclusion | none | link |
| 4 | 351 | XSS | $5,000 | link |
| 5 | 346 | SSRF | $25,000 | link |
| 6 | 344 | Information Disclosure | $7,500 | link |
| 7 | 292 | SSRF | $6,000 | link |
| 8 | 284 | XSS | none | link |
| 9 | 283 | IDOR | none | link |
| 10 | 259 | IDOR | $13,950 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、HackerOne からの「$25,000」でした。
2022年
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 441 | Improper Access Control | $10,000 | link |
| 2 | 300 | IDOR | $12,500 | link |
| 3 | 281 | Path Traversal | $29,000 | link |
| 4 | 268 | Command Injection | $33,510 | link |
| 5 | 263 | Command Injection | $33,510 | link |
| 6 | 260 | Command Injection | none | link |
| 7 | 255 | Privilege Escalation | $20,000 | link |
| 8 | 254 | Buffer Overflow | $10,000 | link |
| 9 | 235 | IDOR | $11,500 | link |
| 10 | 215 | IDOR | $20,000 | link |
ちなみに、最も報酬金額が高かった脆弱性報告は、Gitlab からの「$33,510」でした。
AI によるバグバウンティプラットフォームの動向分析2025
2025年のバグバウンティ業界は、「AI による拡張(Bionic Hacker)」と「攻撃対象の複雑化(IoT/API)」がトレンドとなった1年でした。
🇺🇸 HackerOne
- テーマ
- 「バイオニック・ハッカー(Bionic Hacker)」の台頭
- 概要
- ハッカーが AI ツールを活用して能力を拡張することが常態化しました。AI 関連の脆弱性報告が前年比 210% 増と急増し、特にプロンプトインジェクションなどの AI 固有の問題が注目されました。
- RoM (Return on Mitigation)の重視
- 単に脆弱性を見つけるだけでなく、どれだけの損失を防いだかという投資対効果が経営層に向けて強調されています。
- 報奨金の二極化
- 暗号資産(Crypto)や AI 分野の報奨金は高騰する一方、Web2.0 のコモディティな脆弱性は単価が下落傾向にあります。
🇺🇸 Bugcrowd
- テーマ
- 「ハードウェア/IoT の回帰」と「API セキュリティの成熟」
- 概要
- 「Inside the Mind of a Hacker/CISO 2025」レポート等で、ハードウェアや IoT 関連の脆弱性が再びスポットライトを浴びていると報告されています(ハードウェア脆弱性の報告が88%増)。
- API の変化
- API の Critical な脆弱性は25%減少しており、開発側のセキュリティ成熟度が向上した一方で、複雑化による「アクセス制御の不備」が爆発的に増加しました。
- サプライチェーン
- サードパーティやサプライチェーンリスクへの注目が高まり、これらに対するレッドチーミングの需要が増加しました。
🇧🇪 Intigriti / 🇫🇷 YesWeHack
- 概要
- 両社とも欧州を拠点とし、GDPR や NIS2 指令(EU のサイバーセキュリティ指令)へのコンプライアンス需要を背景に成長を続けています。
- コミュニティとライブハッキング
- 物理的なイベント(Live Hacking Events)やコミュニティ支援に強く、特に Intigriti は「Ethical Hacking Report」などを通じて、ハッカーの教育や法的な保護(Safe Harbor)の重要性を啓蒙しています。
- コンプライアンス主導
- 企業が法規制対応の一環として VDP(脆弱性開示プログラム)やバグバウンティを導入するケースが増加しており、特に欧州市場でその受け皿となっています。
🌍 バグバウンティ業界の AI 分析
2025年の業界全体を貫くキーワードは、「自動化と人間の知性の役割分担」です。
① AI と「バイオニック・ハッカー」の定着
バグハンターの約7割が AI ツールを日常的に使用しています。偵察(Recon)や単純なスクリプト作成は AI や Hackbot に任せ、人間はより高度な「文脈理解」が必要な部分に集中するようになりました。
- Hackbot の役割: XSS のような単純なパターンマッチングはボットが処理する割合が増えています。
② 脆弱性トレンドのシフト(Injection から Logic へ)
かつてバグバウンティの代名詞だった XSS や SQLi は、フレームワークの進化や AI スキャナによって「コモディティ化(陳腐化)」しています。
- 増加: IDOR、認可不備、ビジネスロジックエラーなどは自動検知が難しく、人間による深い理解が必要なため、報奨金および報告数が増加傾向にあります。
- 減少: SQLi などの古典的な脆弱性は減少傾向です。
③ プロフェッショナル化と防御側の成熟
企業(防御側)のレベルが上がり、単純なバグはリリース前に潰されるようになりました。そのため、バグハンターには「開発者以上の製品知識」や「複雑な攻撃チェーンの構築能力」が求められています。
また、企業側もバグバウンティを単なる「バグ取り」ではなく、RoM(軽減された損失額)という指標を用いて、経営的なリスク管理手段として評価するようになっています。
国際的なバグバウンティ制度の活用状況について(2025年)
6. 終わりに
本稿では、2025年のバグバウンティプラットフォームで報告された脆弱性報告の Top 10 と、HackerOne で最も人気投票が多かった Top 10、そして AI によるバグバウンティ業界の傾向分析について紹介しました。
ここまでお読みいただきありがとうございました。
