ぜい弱性の賞金:アップルの方針転換で注目の「現代の賞金稼ぎ」は年収25万ドルも
コネクティビティ

A Bug-Hunting Hacker Says He Makes $250,000 a Year in Bounty バグ発見で年収25万ドル
アップルもぜい弱性に報奨金

バグの発見で賞金を荒稼ぎする若者がいるからといって、仕事は辞めない方がいい。 by Michael Reilly2016.08.24

ソフトウェアをいじるのが好きなら、簡単に報奨金が手に入りそうだ。しかも仕事をくれるのはテクノロジー業界の一流企業。その職業は「バグ賞金稼ぎ」。少なくともあるハッカーは「簡単にできること」(コンピュータープログラムの脆弱性を探しだし、その所有者に教えること)をするだけで、年間25万ドルを稼いでいるという。

バグ発見の報奨金は、1995年ころからあったが、グーグルとフェイスブックが2010年と2011年に独自のプログラムを開始して以降、この数年で増え続けている。マイクロソフト、サムスン、ウーバー、テスラ(自動車のプログラムのバグに支払っている)といった企業には、「バグを見つけたら現金でお支払いします」といったプログラムがある。今月前半まで取引に応じなかったアップルは(批判を受けたため)、招待制ではあるが、バグ1つにつき最高20万ドルを支払うと発表した。米国政府も、今年上旬に独自のハック・ザ・ペンタゴン・プログラムで、この流行を取り入れている。

「ハック・ザ・ペンタゴン」プログラムを講評するアシュトン・カーター国防長官

このプログラムはあこがれの職業に思える。

バグ探しプログラムHackerOneでも働くフランシスコ・コレアさん(30歳)は、脆弱性の発見やハッキングに「わくわくします。世界最初の発見者になれるからです。誰も他の人がいない場所にたどり着いたとわかるのは素晴らしいことです」という。

コレアさんは、光ファイバーのインンターネット回線を引いたアパートをチリの浜辺に所有しており、数年前にグーグルのバグ報奨金プログラムに参加し、アドビとマイクロソフトでもすぐに脆弱性を発見した。

しかし現実はもう少し複雑だ。儲かりすぎて笑いが止まらないホワイトハットハッカー(犯罪者ではないハッカーを指す)も少しはいるだろうが、賞金稼ぎが決して楽な道ではない証言もいくつかある。バグ報奨金ブームは2014年にはあったが、たとえばRedditへのある投稿には、賞金稼ぎを目指す側からも、バグ報奨金プログラムを運営しているとする人物の書き込みでも、その場限りの仕事ばかりで、金にならないつまらない仕事の印象がある。高単価な仕事もある非正規雇用市場での事務仕事に比べても、金持ちになれるのはごくわずかだ。

22日付けのイギリスの日刊紙ガーディアンは「賞金稼ぎが高額報酬目当てに、合法的にアップルやペンタゴンをハッキング中」の見出しで自称年収25万ドルの記事を掲載した。喫茶店でMac Bookを操作して幸運を引き当てた21歳のナサニエル・ウェイクラムの話だ。

実際、ウェイクラムは稼いでいるだろう。もっと驚く金額の話もある。ウェイクラムは、たとえば24時間の「バグ探し大会」で3000ドル稼げる、という。1日分の仕事としては悪くない。フェイスブックが最近インスタグラムのバグに1万ドルを支払った相手は10歳の子どもだった。

同じ記事によれば、バグクラウド(企業とバグハンターを仲介するサードパーティー企業)が3年間で5万件のバグに対して200万ドル以上を支払った、という。バグ1件あたりに換算すると40ドルだ。

英語にはこんなことわざがある。「(金に目がくらんでも)昼間の仕事は続けた方がいい」

関連ページ