記事

サイボウズが自社製品のバグに懸賞金を出す理由って?──バグハンター合宿に密着取材してきた

1/2

「100万円のバグを見つけました!」

サイボウズが主催する「バグハンター合宿」なるイベントに参加して、1時間足らずの出来事だった。あまりに簡単に100万円という金額が飛び出たので、人生ゲームの紙幣くらい軽く感じてしまった。

それと同時にバグハンターたちの技術力の高さと脅威の両方を知ることになった……。

文:megaya

上の青枠の文章だけは別人が書いています。

バグハンターとは、ものすごく簡単に説明すると「Webサイトやスマホアプリのバグを見つける人」のことだ。 バグ探しを趣味にする人もいるが、バグハンターを職業としている人も数多くいる。見つけたバグを企業に報告することで報酬をもらうのだ。なかには「バグ1件で200万円」なんて高額な報酬もあるそう。

夢がある実例をひとつ紹介したい。2018年5月頃から活動している若手バグハンターのno1zy(ノイジー)さんの話だ。

バグハンターのno1zy(ノイジー)さん

当時は学生だったにもかかわらず、活動し始めてからわずか6か月で、500万円もの報酬を得たという。サイボウズからの報奨金が今年入金されたため、来年の税金がエグそうだとのこと……。

(お金の話ばかりで節操なくて申し訳ないが、わかりやすい指標として紹介させてほしい)

バグハンターの報酬が高いのには理由がある。場合によっては、バグが個人情報流出を引き起こす可能性があるからだ。そんなバグを悪用されてしまったら、会社の存続にもかかわるかもしれない。数百万円で会社を守れると考えれば安いものなのだろう。

しかし、バグ報告に対して報奨金を出す日本企業は少ない。バグハンターの重要性がまだまだ浸透していないのかもしれない。

またバグハンターはハッキングに近い形でバグを探していくので、危険視されることもあり、企業からは敬遠されることもあるのだ。

サイボウズはいち早くバグハンターに報奨金を出す取り組みをしている。それだけでなく、社外から参加者(バグハンター)を募り、2日間で集中的にサイボウズ製品の脆弱性を発見してもらうイベント「バグハンター合宿」を2014年から開催しているという。今回はその合宿に取材をしにいくことに。

僕もライターの傍らでエンジニアをやっているのだが、バグハンターの知識はあまり ない。一体、どんな合宿になるのだろうか……。まったく想像がつかないまま、会場に足を運んだ。

※この記事にはオマケとしてバグっぽいものが3つ仕込んであります。間違い探しの感覚で、読み進めながら見つけてみてください。 (「文章に故意に嘘の情報が書いてある」といったバグはないので、普通に読み進めていっても大丈夫です)

<合宿1日目> 合宿スタート!

今回のバグハンター合宿は、湯河原の温泉旅館「おんやど恵」で開催。

合宿のスケジュールは以下の通り。

4/20 (土)

13:30〜14:00 説明・チーム挨拶など

14:00〜17:30 バグハント

17:30〜18:00 成果発表 (1日目)

18:30〜20:30 夕飯

20:30〜 自由時間

4/21 (日)

09:00〜12:00 バグハント

12:00〜13:00 ランチ

13:00〜14:00 発表準備

14:00〜14:30 成果発表(最終)

14:30〜15:00 結果発表、表彰式、総評

会場に大量に積まれたレッドブルがこれからの戦いの長さを予感させる

サイボウズが用意した、パイの実ならぬバグハンの実も


合宿では4チームに分かれて、対抗戦を行う。チームは事前にサイボウズによって決められる。バグはCVSS v3(国際基準の評価法)によって10点満点で評価される。その評価値によってチーム得点が計算され、勝敗が決まるという。

※詳しくは脆弱性報奨金制度ルールブックをご確認ください

当然ながら、合宿中に見つけたバグにも報奨金が支払われる。合宿を楽しみながらお金稼ぎもできるなんて、バグハンターにとって最高の環境だ。

いよいよバグハントが始まると思った矢先、ちょっとしたトラブルが。参加者に事前に公開されていたルールより変更があったらしく、バグハンターから「それは脆弱性でしょう」とツッコミを入れられていた。BJ(バグハンタージョーク)だ。


しかし、サイボウズのエンジニアも「お菓子がデプロイ(実装)されているのでご自由にお食べください」とEJ(エンジニアジョーク)で返すという高等テクを見せる。なんだろう、この集まり……。

<合宿1日目> 14:00〜17:30 バグハントタイム

ルールのバグをつく。前日から戦いは始まっている……!


いよいよバグハントが始まった。

さて、どのチームが一番始めにバグを見つけるのか…!!

会場のスクリーンには、チームごとにバグを見つけた数と点数が常に表示されるようになっている

バグハンターたちの熱き戦いが今始まった!!!!!!

……と心の中で勝手に盛り上がっていたのだけれど、なんと始まって5分ほどで全チーム合わせて50個ほどのバグが報告されていた。

え、どういうこと? スクリーンの表示がバグってる?

どうやら合宿前に検証環境が配布されていたため、前日までにバグ探しをしていた人が何人もいたようだ。

「事前にバグを探してはいけない」とは書かれていないというルール上のバグに気づいていた人が多かったのだ。戦いはすでに始まっている……!!

ちなみに、この時点で一番バグを見つけていたのは冒頭で紹介したno1zyさんで、当日までに30個以上のバグを見つけたようだ。


合宿中は黙々と作業をすると思っていたのだが、予想と違って活発に話し合いをしていた。和気あいあいとしたワークショップの雰囲気に近い。

考えてみれば「すきあらばバグハントをする」共通項のある同士が集まっているのだから楽しくないわけがないのだ。

ちょっと〜! 中間者攻撃(*)しますよ〜?

やめてくださいよ(笑)。

(*)通信をしている送信者と受信者の間に入り、それぞれになりすまして、盗聴したり、データを改ざんしたりすること

会話に挟む冗談も、世紀末のような発言なのが恐ろしい。本物のハッカーが集まっているので、斧を持ちながら「ちょっと〜! 首狩りますよ〜?」と言っているようなものだ。

会場が静かじゃない理由はもうひとつある。バグハンターとサイボウズ社員の間での議論が活発なのだ。

「そもそもバグなのか」「どのくらいの危険度なのか」は、企業側の判断に左右される。バグには無数のパターンがあるので、明確に点数を決めることはできない。

ひとつのバグの危険度の基準を明確にすることは、ほかのバグにも影響するので話し合いがかなり重要なのだ。

「見つけたバグがどのくらい脅威的なのか」を伝えられるかどうかは、バグハンターにとって大事な能力なのである。それによって企業側のセキュリティ意識もだいぶ変わってくるだろう。

合宿では作業部屋にほぼ缶詰状態で、ビックリするくらい写真映えしないので、お昼に食べた湯河原名物である担々焼きそばの写真をみてほしい。ピリ辛でおいしかった

開始1時間で100万円のバグが見つかる

これ100万円クラスのバグじゃないですか?

「バグハンター合宿ってこういう雰囲気なんだな」と、一息つこうと思ったところで早くもひとつの山場がきた。

なんと報奨金が100万円クラスのバグが見つかったのだとか。

合宿が始まってから1時間くらいしか経っていないので「100万円」という金額に実感がまったく湧かない。

バグを見つけたmage(まげ)さん。バグハンターとしてサイボウズとは数年前から関わりがある。明るい人で、合宿ではムードメーカー的存在でもあった

mageさんが見つけたバグを確認するためにサイボウズの社員も一斉に集まる。たしかに最高点がつくようなバグはどんなものか見てみたいし、どうやって見つけたのかエンジニアとして純粋に気になる

どうやってそんなバグを見つけたのかを簡単に言えば「暗号化して読み込んでいるプログラムを見つけて、それを解析してバグを見つけた」という感じだ。

暗号化を解析……。バグの見つけ方が、予想以上にハッキングだったことに驚きだ。バグハンターは実際にWebサイトを攻撃してバグを見つけていくものなのか。改めて自分が異質な場所にいるんだなと認識した。

それと同時に「ちょっと〜! 中間者攻撃しますよ〜?」という先ほどのボケが余計に恐ろしく感じる……。この会場にいる全員が、Webサイトを死に追いやれるデスノートを持っているようなものかもしれない。

【バグ発見の手順】 ※ この手順はかなり簡易的にしています

1. シリアライズ化してプログラムを読み込んでいる箇所を見つける

2. それを解析してプログラムを取得する

3. コンパイルされた状態のプログラムを読み解いていく

4. 脆弱性のある箇所を発見する

理屈はわかったが、「やってみて」と言われてもまったくできる気がしない。

単純に一つひとつの工程をこなす知識力の高さも必要なのだが、それらを組み合わせてパズルのようにバグを見つけていくという発想力に驚かされる。一般の人がハッカーと聞いて思い描く「カチャカチャ、ターン」はこのようなことを実行していたのだ。


そういった技術力を持つバグハンターだからこそ、企業との信頼関係は重要になる。合宿の参加者達がサイボウズのサイトを攻撃しようと思えば、いくらでもできるかもれしれない。

包丁は料理に使うものであるが、人を刺すことだってできる。誰がどう使うかが大切なのだ。

だからこそ、こういった合宿などを開き、バグハンターとの絆をつくっていくのは重要なのである。バグハンターにとっても「自由にハッキングしていい」環境があるのは大切なのだと思った。

写真映えしない展開がまだまだ続くので、バグではなくパグの写真を見て癒されてください

あわせて読みたい

「エンジニア」の記事一覧へ

トピックス

ランキング

  1. 1

    安倍首相を支える戦争賛成の世論

    田原総一朗

  2. 2

    「安倍やめろ」が自民圧勝に貢献

    かさこ

  3. 3

    よしのり氏 れいわの政策に納得

    小林よしのり

  4. 4

    徴用工仲裁手続きから逃げる韓国

    緒方 林太郎

  5. 5

    「安倍やめろ」抑止は言論統制か

    大串博志

  6. 6

    「民主主義の危機」は本当なのか

    村上 隆則

  7. 7

    元駐日大使「責任は韓国政府に」

    文春オンライン

  8. 8

    若者が選挙に行くほど自民が圧勝

    永江一石

  9. 9

    年50万円かけ実験 クレカ選択術

    内藤忍

  10. 10

    望月氏が安倍首相の歴史観を分析

    NEWSポストセブン

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。