アラカルト Macの知恵の実

アップル製品のバグ探しで食べていけるか？

アップルが、セキュリティ上のバグ発見レポートに報奨金を出す「バグバウンティ制度」に本格的に参加をする。最高で150万ドル（約1600万円）の報奨金が用意されるという。アップル製品のバグ探しを職業にして、生活していけるだろうか。これが今回の疑問だ。

 

慎重だったアップルが始めた

アップルは、すべてのプロダクトでバグバウンティ制度を始める。iOSについては2016年からスタートしていたが、この秋からmacOS、watchOS、tvOS、iPadOS、アイクラウド（iCloud）など、アップルの全プロダクトをカバーするようになる。

バウンティとは「報奨金」の意味。セキュリティ上の重大なバグ、脆弱性を発見し、それをアップルにレポートしてくれた人に対し、最高150万ドルまでの報奨金を与える。

アップルがこの制度を始めるのは遅すぎたくらいだ。セキュリティ上の脆弱性を、開発チームやテストスタッフという限られた人たちで発見するのはすでに限界にきている。そのため、広く世間に協力を求めるのがバグバウンティ制度であり、グーグルやフェイスブック、マイクロソフトなどのグローバルIT企業はすでに導入しているし、日本でもLINE、任天堂、エイベックスなどが導入している。

アップルがこの制度に慎重だったのは、一説によると「バグ報告がお金になる」状況を生み出す影響について内部で議論があったからだという。バグを発見した人は、当然ながらできるだけ高く買ってくれるところに報告するという経済原則に従う。必ずしもアップルに報告してくれるとは限らないかもしれない。良心を欠いた人は、犯罪組織に報告してしまうかもしれない。アップルの表経済は、犯罪組織の裏経済に勝てるだろうか。あるいは、正義感の強い人はFBIやNSAに報告してしまうかもしれない。アップルの表経済は、国家権力の超経済に勝てるだろうか。人権を侵害するような行きすぎた捜査に利用される懸念はないだろうか。

このようなことから、犯罪組織や国家権力よりも高い報奨金を出すことが必要だった。もちろん、それはアップルの企業としての経済に見合う額でもなければならない。このような資金の準備や制度の構築に時間がかかったと言われている。

 

14歳の少年が脆弱性を発見

このバグバウンティ制度には、事前に登録をしておく必要があるが、原則誰でも報告ができる。国籍も関係ないし、もちろん学歴や所属なども関係がない。実際、フェイスタイム（FaceTime）のグループ通話で、受信側が応答する前の音声と映像を発信者が見ることができてしまうというバグを発見したのは、米アリゾナ州に住む14歳の少年、グラント・トンプソン君だった。ゲームをプレイ中に偶然発見したという。

このときは、アップルはまだmacOSのバグバウンティ制度を始めていなかったが、アップルは報告を受けてすぐにバグを修正したアップデートを配布、アップルの経営陣の1人がトンプソン家を訪問し、お礼を述べ、報奨金の支払いを確約したという。グラント君は、大学の進学資金にすると喜んだという。

グラント君の場合は偶然バグを発見したが、これを仕事にしている人がいる。彼らはバグハンターと呼ばれる賞金稼ぎだ。世界最大のバグバウンティプラットフォーム「ハッカーワン（HackerOne）」が毎年公開しているレポートによると、2017年末時点でのバグハンター（ハッカーワン登録者）は16.6万人で、1年間で7.2万件の脆弱性が報告をされ、報奨金総額は2350万ドル（約26.5億円）となっている。

 

収入は最高で16倍先進国でも2倍以上

このようなバグハンターとして、生活をしていけるものだろうか。もちろん、バグハントを専業にして暮らしていけるのはトップクラスの一握りのハンターだけであることは言うまでもない。しかし、収入はかなり高水準だ。

ハッカーワンには、ほぼ全世界のバグハンターが登録をしているが、各国のトップハンターの報奨金収入と、その国の平均給与を比較した表がレポートに掲載されている。これによると、トップはインドの16・0倍、次がアルゼンチンの15・6倍となる。この2つの国は、平均給与そのものが国際水準よりも低いが、先進国でもカナダで2.5倍、米国で2.4倍となり、決して悪い水準ではない。世界の平均は2.7倍になる。

バグハンターをするような人たちは、かなり凄腕のITエンジニアであるはずなので、バグハントをするよりは、どこかのIT企業に勤めたほうが収入は大きいかもしれない。「トップクラスでもその程度なのか」と見るか、「今後、バグバウンティ制度は広まっていくから期待できる」と見るのかは難しいところだが、今回アップルが高額のバグバウンティ制度を始めたことは、この制度をいい方向に進ませるきっかけになるに違いない。

参加者のプロフィール統計を見ると、専業という人はやはり少ない。エンジニアとして仕事を持っていて、その傍ら、バグバウンティに参加している人が一番多い。エンジニアの副業として考えれば、十分すぎるほどの収入だ。また、学生も多い。専業の人は、プロフィール上「無職」となるが、子育てのために一時的に無職になっている人を含めても、全体の2%強でしかない。

バグハント作業に週に何時間を費やすかを尋ねると、70%近い人が20時間以下と答えている。これは1日3時間程度で、副業として行っていると推測できる。一方で、40時間以上と答えた人も13.1%いて、こちらは本業といってもいいはずだ。

つまり、専業バグハンターは、全体の数％から10％程度と考えられる。職業としてのバグハンターはまだまだ難しいものがあるようだ。

 

副業にぴたったりのバグハンター

世界的に見てもバグバウンティ制度は、ようやく定着してきたところだ。ハッカーワンのレポートでも、2017年版では、参加する理由の1位が「お金を稼ぐため」だったが、2018年版では４位に後退している。「自己顕示のため」という理由も下位に下がってきている。2018年版では「技術を学ぶため」が１位で、以下、「挑戦するため」「楽しみのため」という回答になる。

つまり、以前は「オレはこんなすごい脆弱性を発見できる」という青臭い自己顕示が強く、それでお金を稼ぐというのがバグバウンティだった。中二病的なハッカーっぽい理屈で参加をしている人が多かった。しかし、ここ数年で、そのような感覚は後退をし、「本業でも役立つ知識を身につけることができ、ついでにお金ももらえる」という趣味と実益を兼ねた副業に近いものになっていると考えられる。副業として考えれば十分すぎるほどの報酬だ。

日本にもバグバウンティ制度に参加をしているエンジニアはたくさんいて、多くの人が口にするのが、「本業とは異なるコミュニティに参加できること」をメリットに挙げている。エンジニアはもともとエンジニアリングが好きだから、エンジニアになった。しかし、業務で扱う技術は必ずしも自分の興味と完全一致をしているとは限らない。このずれをバグバウンティ制度を活用して、補正している印象を受ける。

セキュリティに興味がある人にとっては、バグバウンティ制度は優れた副業になる。アップルのバグバウンティ制度が正式に開始したら、登録をしてみてはいかがだろうか。楽しみながら、お金が稼げるということは世の中にはそうは多くない。