日本発バグバウンティ 「IssueHunt」を調査したい IT副業最前線

bugbounty IssueHunt
2024.10.24

~セキュリティ後進国の日本 サイバーセキュリティ文化の開花~

目的

バグバウンティの世界で、日本発のプラットフォームとして注目されているのが「IssueHunt」です。

issuhunt_logo
https://issuehunt.co.jp/

今回は、その「IssueHunt」について調べたいと思います。海外では、広く認知されている「バグバウンティ」は、日本ではまだまだ認知度は低いです。それもIT後進国の日本だから当然といえば当然だと思います。その一方で、成長過程であるからこそ見える景色もあると思います。その一端を担う「IssueHunt」とは

IssueHunt

IssueHuntを説明するうえで、いくつかの構成要素を見てみましょう。

Boost Note

boostnote
引用:https://boostnote.io/

BoostIO社(のちのIssueHunt社)が開発したエンジニア向けのメモアプリです。シンプルで直感的な操作性と、Markdown記法に対応しているため、コードスニペットや図などを含めた技術的なメモを効率的に管理できます。
海外を中心に注目度は高く,GitHubのスター数が17000を超える人気のOSSとなっています。(レガシーバージョン、筆者が見た時点で)
注目のきっかけはGitHubに紹介され、さらに海外メディアによる拡散でシェアされたことだった。
日本で拡散されなかったのは開発者の「世界で戦う」という思いから「日本の色を消す」という選択をしたからだそうです。

「Boostnote」→「Boost Note」へリニューアルされたようです。無料利用の場合は制限が増えたようです。以下から飛べるので興味のある人はどうぞ。
https://boostnote.io/

横溝一将

横溝一将
引用:東洋経済 https://toyokeizai.net/articles/-/700213

IssueHunt株式会社CEO
北九州市立大学在学中に福岡で会社を創業。
受託開発を中心に仕事を行う。
その後、ハッカソンの優勝をキッカケに株主と出会い上京を決意する。オープンソースのエンジニア向けのメモアプリ「Boostnote」を開発する。

GitHubで人気を博したBoostnoteの開発者の一人であり、日本発バグバウンティサービスを提供するIssueHunt社の生みの親である。

Choi Junyoungさん

IssueHunt株式会社CTO
釜山から留学し、九州大学在学時に横溝氏と出会う。
JavaやPHPなどの言語を経て、TypeScript中心に開発を行なっている。
絵(イラスト)を描くのが趣味だそうです。

IssueHunt株式会社

「オープンソース」の開発者に対して投げ銭形式で報酬が支払えるサービスの運営に取り組んできたことが、きっかけの一つ
→オープンソースプロジェクト向けの報奨金サービス『IssueHunt』につながる。
また、日本ではサイバー攻撃は大きな社会課題となっている。
この状況を変えるために事業転換を決断し、サイバーセキュリティの世界へと踏み出した。
その中で日本では「バグバウンティ」の仕組みをサービスとしてほとんど提供されていないことを知る。
その気づきが、『IssueHunt バグバウンティ』をスタートする出発点となる
その後、BoostIO株式会社からIssueHunt株式会社へ社名変更
以上がIssueHunt社の歴史のようです。
(間違いがありましたら、申し訳ございません。)

IssueHunt バグバウンティ

ユーザー登録

https://issuehunt.io/ へアクセス
(日本語版サイトにはバグハンター側の登録ができなさそうでした)
「Researcher Sign Up」をクリック

user_reg1

・好きな方法で会員登録

user_reg2

・指示に従って進めます。
すると、ものの数分で登録作業完了しました。

・「Program」の部分をクリックすると、依頼が表示されます。
プログラムには種類があるようです。
「Public」
すべての研究者にプログラムに参加可能
「Private」
承認された研究者のみがプログラムに参加可能
「Invite Only」 
招待された研究者のみがプログラムに参加可能
プログラム検索ページに表示されない

私が見た際に表示されたプログラム数は20個でした。
もしかしたら、招待制プログラムがもっとあるのかもしれません。
HackerOneでは400以上もありました。競合の多さから魅力的な報酬体系になり、より優秀な人材含め多数の人が集まるというスパイラルが起こっているのでしょうか。圧倒的すぎますね。

user_reg3

IssueHuntへの期待

日本がセキュリティ後進国であるという現状は、一見ネガティブに捉えられがちですが、バグハンターにとっては、むしろ大きなチャンスが潜んでいると言える
セキュリティのレベルが高くない・力を入れていない企業がまだまだ存在するということは、比較的容易に成果を上げ、実績を積むことができる可能性がある。また、競合増加によってバグハンターにとって、より多くの報酬を獲得できるチャンスが増えることになります。海外も含め、バグハンターが積極的に挑戦しやすい環境を整備してもらえたら、明るい未来が訪れるのではと思います。

注意点

  • 違法行為は絶対に行わない: 許可なく他人のシステムに侵入することは違法行為です。必ず、合法的な範囲内で実験を行いましょう。
  • 倫理観を持つ: ハッキングは、倫理的な側面も考慮する必要があります。
  • 情報漏洩に注意: 実験中に個人情報や機密情報が漏洩しないよう、十分に注意しましょう。