ハッキングは増加しているが、役に立つ場合もある。それが、脆弱性報告プラットフォームのHackerOneが発表したホワイトハッカーの状況に関する年次レポートの主要な結論だ。2020年現在、60万人ものホワイトハッカーがHackerOneを利用している。コミュニティーの規模は前年比2倍となり、この1年間に支払われた報奨金の総額は史上最高の約4000万ドル(約44億円)だった。
報奨金プログラムが存在する国別で見ると(右のグラフ)、米国での報奨金額が最も大きく、約2900万ドル(約32億円)となっている。左のグラフはハッカーの居住国別の報奨金額。
提供:HackerOne
金銭と引き換えにセキュリティの脆弱性を探し出すホワイトハッカーと企業を結びつけるHackerOneによると、この1年間に支払われた報奨金は、それ以前に支払われた報奨金をすべて合計した金額とほぼ等しかったという。
当然のことながら、General Motors、Google、Goldman Sachs、トヨタ自動車、IBMなどの有名企業は、悪意あるハッカーより先にHackerOneのセキュリティ研究者に自社の製品やサービスの脆弱性を発見してもらいたがっている。
2012年のサービス開始以来、15万件を超える脆弱性の発見に対して、企業がHackerOneのホワイトハッカーに支払ってきた報奨金の総額は8200万ドル(約90億円)にも達する。
1件当たりの報奨金も高額になりつつある。2018年には、100万ドル(約1億1000万円)以上の報奨金を手にしたハッカーが初めて現れた。2019年には、100万ドル以上を手にしたハッカーは7人となった。さらに、10万ドル(約1100万円)を獲得したハッカーは2018年のほぼ3倍になり、146人に達した。HackerOneのレポートは、「したがって、ハッカーという職業には、現在のIT業界の世界平均給与8万9732ドル(約990万円)をはるかに上回る報酬を得られる可能性がある」としている。
民間企業の参加が増えているが、HackerOneのレポートから、ホワイトハッカーのスキルの利用に最も熱心なのは連邦政府であることがはっきりとわかる。
HackerOneは、「政府や行政機関は、サイバーセキュリティに関して実績のあるこうした手法の利用や促進について、明らかに進歩的だ」と述べ、政府機関からの需要が前年比で214%増加したことを指摘している。
米国防総省は、HackerOneと提携して「Hack the Pentagon」「Hack the Army」「Hack the Air Force」と呼ばれるプログラムを運営している。また、欧州委員会は、HackerOneとの協力により、「Free and Open Source Software Auditing(FOSSA)」プロジェクトの一環としてさまざまなバグ発見報奨金プログラムを実施してきた。