バグを見つけてお金が貰えるバグバウンティのススメ

アメリカには、バウンティハンターという西部劇にでてくるような「賞金稼ぎ」が今も実在しています。それだけでなく、ちゃんと制度としても確立されていて、借りた保釈金を踏み倒して逃亡している人達をバッジをつけたバウンティハンターたちが銃を持って追っかけます。（関係ないけどカルロス・ゴーンも捕まれば良いのに・・・）

インターネットやソフトウェアの世界には、バグバウンティ（脆弱性報奨金制度）というのがあります。システムの脆弱性などの不具合（バグ）を見つけて報告した人に報奨金を与えよう、というとても高尚なアイデアだと思います。

脆弱性などの不具合を見つけて、それを悪用する人が得をするばかりの世界では、世界は荒みます。見つけたら、正しいところに報告することによって、報告者が報酬を得られるようにすれば、脆弱性を悪用されることなく修正でき、ユーザーも安全、報告者も報酬を手にします。

三方ヨシ。

バグバウンティのプログラムは、個々の企業が独自に行っていたり、まとめて提供する代行サービスを運営している所もあったりします。基本は英語のものが多いのですが、日本では、BugBounty.jp があります。欧米ではバグバウンティだけで生計を立てている人達も居ます。

日本ではイマイチ普及していないというか、知名度もあまり無い気がしますが、これからは、民間だけでなく、行政のシステムでもバグバウンティをどんどん活用していくのが良いと思います。

脆弱性を悪用されていつか多大な被害を受けることになるよりも、善意の報告者に多少の報奨金を払ったほうが、プラマイで断然お得です。

いや、なんでいきなりバグバウンティ推しなのか、と言いますと・・・。今日、自分がバグバウンティのプログラムを通じて、某企業から報酬を頂いたからであります（笑）。いやぁ、ホントに貰えるんですね。大したバグでは無かった（脆弱性でもないただの不具合）ので大した金額でもなかったですが、想像していたほどの少ない金額でもありませんでした。

ことの顛末は、というと、某フィンテック系企業のサイト上で某データの書き出しがバグっていたので、親切にスクショから何から想定される原因から当座の対策まで、一式書いて問い合わせフォームからお知らせしてあげたら、「バグバウンティプログラムを通せ（以上）」というような一行程度の返信が来ましたわけであります。

問い合わせフォームの返信はそっけなかったけども、報奨金がもらえるかも知れないものを告知せずいるよりも、良い対応といえば良い対応なのでしょう。自分としては、単なる好意で報告しているだけであって、別に報酬目当てでもなく、単に面倒くさいだけでありますが、まぁネタにはなりそうだし、おもしろそうだったから一度はやってみるか、とBugBounty.jp にて本件を登録してみたわけあります。

大したバグ報告でもないから、と忘れかけていた本日、報告してからかれこれ2か月ぐらい経って、正式な認定と支払いを受けた、ということです。

今まで、数えきれないほどバグ報告はしてきましたが、企業系のサービスではお礼の言葉どころか、（Yahoo! Japanとか）返信すらこないところも多いです。

しかし、こうして報酬を頂けるということを経験してしまうと、なんというか、無償の善意に頼るものだ、という常識がひっくり返り、世界観が変わりますね。なんというか言葉にしづらいのですが、「フーム・・・」みたいな。

ホントに深々と「フーム・・・」、と色々と考え込んでしまいます。・・・いや、報酬くれないところはハックして悪用してやろうとか全然考えていないです、いないですから（笑）。