TokyoBlackHatNews

sophos-news 19分で読了

Mythos時代のバグバウンティ

バグバウンティは今、30年の歴史の中でも最も急速に変化しています。一方では、AIを活用したリサーチの台頭により、多くのプログラムに質の低い「スロップ(slop)」が大量に流れ込んでいます。もう一方では、最先端モデルが機械的なスピードで、検証済みかつ再現・悪用可能な脆弱性を生み出し始めています。どちらのトレンドも加速しており、もとに戻ることはないでしょう。

この変化は、バグバウンティプログラムの目的そのものを問い直すものです。もはや単に外部からの発見を受け取るチャネルではありません。誰もが気づかぬうちに形を変えた脆弱性発見プロセスに対して、トリアージ・エンジニアリング・レスポンスの仕組みが追いつけるかどうかを問う、リアルタイムのテストとなっています。 

本稿では、この変化がどのように進展するとわれわれが考えるか、バグバウンティプログラムに何が求められるか、そしてわれわれのプログラムがそれに対応してどう進化してきたかを解説します。また、2025年の成果についても紹介します。というのも、2025年は、Netscapeがブラウザの初期ベータ版における脆弱性発見を研究者に依頼した最初のバグバウンティ制度から30周年、そしてわれわれが自社の公開プログラムを開始してから8周年という節目の年に当たるからです。

AIが変えるバグバウンティの形

現在最も多く聞かれる声は「スロップ」、つまりAIを使った低品質な提出物が業界全体のトリアージキューに押し寄せているというものです。これは現実であり、痛切な問題です。しかし、実際に起きていることの半分にも満たない部分です。そのノイズの裏では、AIが機械的なスピードで検証済みかつ悪用可能な発見を生み出し始めており、その能力は急速に向上しています。

次の2つは同時に成立します:

  1. スロップは増加する(自動化の進展、提出件数の増加、トリアージ負荷の増大)。
  2. 能力は向上する(モデルはコードベース全体にわたる推論、エクスプロイト仮説の構築、非自明な脆弱性チェーンの発見において進歩する)。

どちらの方向性も加速しており、逆転することはありません。プログラムがどのように進化すべきかを論じる前に、8年間の実際の運用経験を振り返ることが重要です。プログラムが長年の運用を通じて培ってきた経験知こそが、このような変化に対する耐性の大部分を形成しているからです。

プログラムの進化の歩み

われわれのバグバウンティプログラムはMythos時代を念頭に設計されたものではありません。当時はそうした発想を持つ人は誰もいませんでした。しかし、8年間の運用・調整・学習を経てきたわれわれのプログラムは、今日ゼロから設計・立ち上げられたプログラムよりも、来たるべき変化に対して有利な立場にあります。

はじまりの頃…

2015年および2016年にはプライベートなバグバウンティプログラムを運営していましたが、2017年12月14日、脆弱性開示ポリシーと同時にBugcrowd上で公開プログラムを開始しました。

以来、本稿執筆時点では合計7,091件の提出のうち1,343件の脆弱性に対して報奨金を支払い(惜しくも1,337件には届かず!)、その総額は$599,695に上ります。

プログラムを立ち上げた理由はシンプルであり、セキュア・バイ・デザインの成果に直結するものです:

  • 内部だけではすべてを発見できない。外部のリサーチにインセンティブを与えることで、社内では完全に再現できない製品・設定・脅威モデルにわたるカバレッジが向上します。
  • セーフハーバーの重要性。明確なルールのもと、研究者が誠実に報告できる環境があってこそ、セキュリティはより速く改善されます。(この枠組みが実際にどれほど重要かについては、こちらをご覧ください。)
  • 継続的かつ多様な評価。バグバウンティは「スナップショット」的な評価ではなく、年間を通じた継続的な精査を提供します。
  • 学習の加速。研究者との対話はエンジニアにとっての実践的なトレーニングです。特に、一度きりのバグに留まらず、設計上の体系的な教訓が明らかになる場合はなおさらです。

プログラムには当初から課題があることも承知していました:

  • 一部のハンターは高件数・低難度の問題に集中しがちです。これにより低深刻度の問題に結果が偏ることがあります。有用ではありますが、最も排除したいリスクに必ずしも合致するわけではありません。
  • 意見の相違は起こります(再現性、深刻度、スコープ)。それはつきものであり、信頼できるサードパーティプラットフォームを通じてプログラムを運営することを選んだ理由の一つです。
  • 検証のオーバーヘッドは現実です。重複、スコープ外の提出、誤検知、既開示済みの脆弱性はすべてフィルタリングが必要です。有効対無効の比率は常に低く、これは歴史的に多くのプログラムが抱えてきた課題ですが、AIによってその問題は大幅に深刻化しています。cURLにおけるAIスロップへのDaniel Stenbergの苦言は参考になる事例です。同氏は2026年1月、そのプログラムの金銭的報酬を完全に終了しました。

最近の成果

2025年もバグバウンティプログラムは最大$80,000(米ドル)の報奨金体系を維持しました。スペシャルターゲットとそれに対応する報奨金は以下の通りです:

  • Intercept X Endpoint(Windows):最大$80,000
  • Sophos Central:最大$50,000
  • Sophos Firewall:最大$50,000
  • プレミアムバウンティ対象ターゲット:最大$8,000
  • キャッチオールターゲット:最大$5,000

2025年の数値を簡単にまとめると以下の通りです:

  • 52件以上のレポートに対して$59,400を付与
  • 世界各国からおよそ420名の研究者が参加
  • 月平均報奨金額は$6,000〜$7,000で、2024年と同水準を維持

また、脆弱性報奨プログラムおよび関連施策に対して一連の変更と改善を実施しました:

  • 透明性向上のため、Firewallスペシャルターゲット報奨の達成条件を更新
  • 新しいコントロールプレーンアーキテクチャを導入するFirewall Early Access Programを対象に、プライベートBugcrowdプログラムを完了
  • Sophos Taegis(XDR)の次の主要マイルストーンに向けたプライベートBugcrowdプログラムを開始し、順調に進行中

各ターゲットの詳細な最新情報は以下の通りです:

Intercept X Endpoint(Windows)スペシャルターゲット

Intercept X Endpoint(Windows)は、より深い調査を奨励するため、報奨金額と体系を更新して継続しています。例えば、ゼロクリックによるリモートコード実行(RCE)の実証に対する1件あたりの最大報奨金は$80,000です。

2025年には、Intercept X Endpointにおける独自かつ有効なセキュリティバグのレポートを7件受領し、合計$9,600を付与しました。2025年の最高報奨金は、1名の研究者が提出した3件のレポートで、それぞれ$2,000が付与されました。これらのレポートは範囲外読み取り(out-of-bounds read)攻撃に関するものでした。

Sophos Centralスペシャルターゲット

このターゲットを継続しており、Sophos Centralスペシャルターゲットに掲載されている各脆弱性カテゴリには最大$50,000の報奨金が支払われます。

2025年には、Sophos Centralにおける独自かつ有効なセキュリティバグのレポートを13件受領し、合計$11,650を付与しました。2025年の最高報奨金はHTTPリクエストスマグリングに関するレポートで$5,500でした。

Sophos Firewallスペシャルターゲット

このターゲットは1年以上継続しており、多くの興味深いレポートを受け続けています。確認されたレポートからわれわれのチームも学んでおり、この製品をさらに安全にするための研究者コミュニティの支援に感謝しています。2025年にはこのスペシャルターゲットの要件に変更を加えました。詳細については、Sophos Firewallスペシャルターゲットページをご参照ください

2025年には、Sophos Firewallにおける独自かつ有効なセキュリティバグのレポートを13件受領し、合計$21,500を付与しました。2025年の最高報奨金は、認証前SQLインジェクション(SQLi)に関するレポートで$8,000でした。

プライベートプログラムの導入について補足します。われわれが実践していること、そしてすべてのバグバウンティ参加者にも検討を勧めることは、施策のスコープと規模を継続的に評価することです。製品やインフラの動向だけでなく、広範な内部セキュリティ活動のコンテキストも踏まえ、新製品の追加、パラメータの変更、報奨金の調整を行っています。この継続的な調整こそが、AIシフトが加速する中でプログラムが鍛え続けるべき能力です。われわれが注視している「健全性指標」の一つとして、時間の経過とともにFirewallの脆弱性は悪用がより複雑になり、よりニッチな問題、より多くのチェーニングが見られるようになっています。これはベースラインのハードニングが機能しており、研究者が実質的なインパクトを出すためにより多くの努力を要するようになっていることを示唆しています。

実践におけるセキュア・バイ・デザイン:プレッシャー下からの教訓

われわれが学んだ最も重要な教訓の一つは、バグバウンティを単独の受信箱として扱うのではなく、システムの一部として機能させることで最良の成果が得られるということです。以下の2つのPacific Rim関連の事例は、その理由を示すとともに、AIが脆弱性研究のペースを変える中でこの規律がいっそう重要になることを示しています。

「仲間」の話:意図通りに機能した協力関係

われわれのPacific Rim報告は、製品とインフラを標的にした攻撃者を追跡しており、一部のファイアウォール製品でRCEにつながる未知のSQLi(CVE-2020-12271)を悪用したAsnarök攻撃もその一つです。関連資料を公開した直後、ドイツのセキュリティ企業Code Whiteの研究者からバグバウンティの提出を受けました。

彼らの取り組みは、最良の「仲間」関係の好例です。攻撃者のマインドセットでターゲットにアプローチしながらも、透明かつ責任ある行動を選択した研究者の姿です。彼らは当初レッドチームアセスメント用のRCEエクスプロイトを構築しようとしていましたが、代わりにRCEに転用できる別のSQLi(CVE-2020-15504)を発見し、われわれのプログラムを通じて報告しました。

彼らのブログに掲載された開示タイムラインは、われわれがセキュア・バイ・デザインの実践と考えるもの——対応の迅速さと明確さ——を示しています:

  • 04.05.2020 – 22:48 UTC:Bugcrowdを通じてSophosに脆弱性を報告
  • 04.05.2020 – 23:56 UTC:Sophosが受領を確認(1時間強)
  • 05.05.2020 – 12:23 UTC:Sophosが問題を再現し、修正作業を開始
  • 05.05.2020:Sophosが最初の自動ホットフィックスを展開(同日)
  • 16.05.2020:研究者がホットフィックスのセキュリティ対策に対するバイパスの可能性を報告
  • 21.05.2020:認証前メール隔離解除機能を無効化する2番目のホットフィックスをリリース
  • 2020年6月:修正を組み込んだファームウェア18.0 MR1-1をリリース
  • 2020年7月:修正を組み込んだファームウェア17.5 MR13をリリース
  • 13.07.2020:ベンダーと連携してブログ記事を公開

最初の報告から再現確認まで13時間以内、当日中に最初のホットフィックスを展開しました。このような対応サイクルこそが、顧客とエコシステムへのリスクを迅速かつ測定可能な形で低減させます。これがまさに、Mythos時代が当然のこととして求めるテンポです。

「敵でもある仲間」の話:エコシステムが複雑になるとき

Pacific Rimはより困難な教訓ももたらしました。2度の事例——Asnarök(2020年)とPersonal Panda(2022年)——において、脅威アクターがSophos製品のゼロデイを悪用し、その直後に同じ脆弱性に関する外部からのバグバウンティレポートを受け取りました。

Asnarökの場合、開示された脆弱性は攻撃で使用されたものとは異なり、その研究者は以前から(そして引き続き)われわれのプログラムや他のプログラムに貢献していたため、直接的な関連性は低いと判断しました。しかし、提出のタイミングが不審でした(攻撃の1日前)。また、研究者のデバイスの位置情報も疑念を抱かせるものでした。中国の成都——のちにPacific Rim活動の中心地として特定された都市です。

Personal Panda(CVE-2022-1040)も同様の事例でした。クレジット記載を希望しない匿名の研究者がゼロデイをバグバウンティプログラムに報告し、$20,000の報奨金を受け取りました。その研究者は日本を拠点と主張していましたが、使用されたデバイスのIPアドレスの位置情報は中国を指していました。事後的な脅威ハントにより、バグバウンティ提出より前にCVE-2022-1040が積極的に悪用されていたことが明らかになりました。発生頻度は限定的でしたが、被害者像とタイミングは、中国の対外政策目標と一致するターゲティングパターンを示していました。

これらの攻撃と対応する提出物を確定的に結びつけるには、証拠が不十分です。しかし、タイミング、コンテキスト、および特定の指標は、歪んだインセンティブの可能性を示唆しています。脆弱性を悪用しながら、バグバウンティエコシステムを成立させている「誠実な報告」という前提を利用して、開示の金銭化も試みるアクターの存在です。

重要なのは、これによってわれわれの研究者コミュニティ全体に対する見方は変わらないということです。提出の大多数は誠実な意図で行われており、われわれのプログラムは善意の研究者を引き続き尊重することに依存しています。ファイアウォールの内部に深い知識を持つ中国在住の研究者から引き続き貴重な提出を受けており、彼らの貢献によって製品はより安全になっています。これはプログラムが目指す目標そのものです。しかし、Pacific Rimの経験は、セキュア・バイ・デザインの現実を改めて確認させてくれます。バグバウンティプログラムは成熟した運用上のガードレール——強固なトリアージ、検証規律、そして金銭と信頼が絡むシステムには敵対者がゲームを試みる可能性があるという認識——を持って運営すべきです。AIが高品質な提出を生み出すことのできるアクターの範囲を広げるにつれ、この規律の重要性は増すばかりです。

AIに戻る:これからの方向性と求められるもの

8年間のプログラム経験を踏まえた上で、AIの問題に戻りましょう。本稿の冒頭で示したスロップと能力向上の軌跡は、もはや抽象的なものではなく、プログラムを運営するすべての人にとってキューの様相を変えつつあります。3つの視点が、現状の把握に役立ちます。

業界はこの見解に収束しています。Cloud Security Allianceが最近発表したMythos-ready論文は、KnosticのGadi Evronが主導し、CSAとSANSの共著者が加わった複数著者による立場表明論文で、250名以上のCISO(本稿の著者を含む)によるレビューを経たものです。この論文は同じ変化を端的に述べています。脆弱性の発見から武器化までの時間は数時間に縮小しており、数週間単位のパッチサイクルを前提に構築されたセキュリティプログラムは、そのスピードに対応できる設計になっていないと。バグバウンティプログラムはそのプレッシャーの最前線に位置しています。

BugcrowdのSVP(上級副社長)運営担当のMichael Skeltonは、この変化の両面を示すキューからの観察を共有してくれました。スロップの側面では、AIを十分な知識なしに使用するより大きなグループへとクラウドが急速に拡大し、低品質・低水準な提出件数が増加しています。これは最も目に見える変化です。しかしSkeltonは、これが最も重要な変化ではないと指摘します。より重大な変化は、熟練した研究者がAIを使って何をしているかという点にあります。Bugcrowdでは認可ベースの脆弱性のカバレッジが顕著に増加しています。多くのプログラムでは、ハッカーが認可バイパスの単一ベクターを特定した後、AIを使ってそれを顧客テナント全体、場合によってはプログラムのスコープ内にある複数の頂点ドメインとサブドメインにわたってスケールさせています。かつてはプログラムから排除するのに数年かかっていた認可の脆弱性が、今では数時間から数日で表面化するようになりました。Skeltonは、これが攻撃面と防御面の両方においてAIのセキュリティへの影響について語る最も重要な側面の一つになると予測しています。

これが近期的な見通しです。中期的な見通しはさらに明確です。「脆弱性の洪水」に関する最近の記事で論じたように、最先端モデルはもっともらしく聞こえる無意味な出力を超え、大規模な検証済み・悪用可能・高深刻度の脆弱性へと向かっています。AnthropicのClaude Mythos Previewはすでに、主要なオペレーティングシステムとブラウザにわたって数千件のゼロデイを発見しています。Mythos以前のモデルを使った社内ネットワーク上でのわれわれ独自のOpenClawレッドチーム演習では、数日分の偵察作業を数時間に圧縮し、権限のない単一アカウントから重大なエスカレーションパスを発見しました。

この2つの軌跡を合わせると、バグバウンティプログラムへの示唆は明確です。課題は、ノイズをフィルタリングすることから、ノイズ自体が拡大し続ける中で実際の発見の継続的なフィードに追いつくことへと転換しています。

プログラム設計への示唆

問われるべきは「AIによる提出をどう止めるか、減らすか」ではありません。「良質な調査もノイズも機械的なスピードで生み出される世界で、どうやって信頼とシグナルを維持するか」です。

プログラムが移行する必要があると考える方向性は以下の通りです——われわれのプログラムも含めて:

  • デフォルトでの証拠要件の強化。明確なPoC、ログ、トレース、影響を受けるバージョン、再現可能な手順が必要です。再現できない主張はパイプラインに乗せるべきではありません。
  • トリアージ前フィルタリングと自動検証の改善。プラットフォーム側とベンダー側の両方において。評判シグナルとスロップ検出は受信ノイズを低減しますが、より大きな機会はアセスメント自体の自動化にあります。影響を受ける製品のクリーンなインスタンスを起動し、提出されたPoCを再現し、人間が確認する前に主張を検証または否定することです。これはAIが生み出そうとしている提出量に対応できるインフラ投資の一形態です。
  • 深さに向けたインセンティブの調整。チェーニング、現実的な悪用可能性、新規クラス——単なる「バグ件数」ではなく。プログラムの経済設計は、AIがまだ安価にはできない作業に報酬を与えるものである必要があります。
  • 悪意ある行動を想定したプログラム設計。レート制限、構造化された提出、不審なパターンへの明確なポリシー。検討に値するテクニックの一つは、プログラムにハニートークン脆弱性を仕込むことです。もっともらしく見えるが偽造された問題であり、正当な調査では登場しないはずのものです。これらのパターンに一致する提出は、悪意あるまたはAIスロップパイプラインを発生源でフラグ立てするための有用なシグナルとなります。Gadi Evronは当初この考えを半分冗談として提案しましたが、スロップ時代には本当に有効かもしれません。金銭と信頼が絡むシステムは必ず探られます。
  • 証明責任の引き上げと、不快なトレードオフの受容。従来、バグバウンティプログラムは研究者に、発見の曖昧な証拠が得られた時点で停止するよう求めています。インフラの深部への侵入や顧客データへのアクセスを望まないためです。しかし、Mythos時代はその計算を変えます。提出が本当に悪用可能であれば、それはスロップではありません。さらに踏み込んで実際の影響を証明できる能力こそが、真の調査と自信に満ちた作り話を区別するものです。最近、Sophosのエンジニアが週末の一部を費やして再現・解決に取り組んだほど鮮明な提出がありましたが、結局すべてが捏造であることが判明しました。証明の閾値が上がるにつれ、プログラムはエンゲージメントルールと契約を見直す必要があります。実際の顧客データを危険にさらすことなく、信頼できる研究者にインパクトをより徹底的に実証できる制御されたパスを付与することです。それは本物の緊張関係ですが、コミュニティが乗り越えていく必要があるものです。
  • プラットフォームとの緊密な連携。Bugcrowdはすでにこの方向に動き始めており、「スロプティミズム(sloptimism)」と呼ぶもの——最小限の検証で提出された大量の投機的なAI生成レポート——に対抗するため、提出ポリシー、レート制御、検出メカニズムを最近更新し、提出量稼ぎに関与するアカウントを永久にBANしています。

AIはまた、多くのセキュリティチームがすでに追求している「統合」作業も加速させるでしょう。ペネトレーションテスト、スキャナー、内部テスト、バグバウンティ提出からの発見を、一貫したスコアリングとコンテキストを持つ単一の優先順位付けシステムにマージする作業です。しかし、もう一つ言及に値する変化があり、それは防御側が見落とすべきでないものです。攻撃者や研究者がバグをより速く発見できるようにするAI能力は、クローズドソースソフトウェアのベンダーに非対称的な優位性を与えます——それを活用する意志があれば。外部の研究者はバイナリとブラックボックスの動作を相手に、外から内へと取り組んでいます。われわれはソース、ビルドシステム、テストインフラへの完全なアクセスを持って、内から外へと取り組んでいます。Mythos時代において、われわれを標的にする人々より先にバグを発見するために自社コードにAIを向けることは、あればいいというものではありません。それは防御側が持つ最も意味ある優位性の一つであり、そこに投資するプログラムこそが、追いかけるのではなく時代の先を行き続けるものになります。

Mythos時代を上手に乗り切るためのヒント

ハンター向け

  • 再現性は件数に勝る。明確な手順、証拠、検証がかつてないほど重要になっています。トリアージチームがノイズに溺れているときはなおさらです。
  • AIは副操縦士として使う。代替としてではなく。AIは明確さと整理に役立ちますが、主張の検証と仮定のテストは依然として人間が行う必要があります。検証なしにRCEを主張すれば、全員が損をします——特にあなた自身が。
  • 創造性を発揮する:他の人が「ザグ」するときに「ジグ」せよ。重複は起きます。新規性は多くの場合、異例のパス、見落とされた設定、より深いチェーニングから生まれます。自動提出パイプラインが届かない場所から。
  • 研究者を評価する企業を評価する。あなたの取り組みを評価するプログラムこそ、時間を投資する価値があります。

組織向け

  • バグバウンティはPR施策ではなく、セキュア・バイ・デザインの一部として扱う。セキュアな開発実践、ペネトレーションテスト、内部アセスメント、レスポンスワークフローと統合してください。
  • インパクトと、それを証明するために必要な作業に報酬を与える。レポートが信頼できるリスクを示す場合(DoSしか実証されていなくても)、悪用の可能性が高いときは適切に評価してください。
  • 件数だけでなく「健全性」を測定する。低品質な問題は時間とともに減少していますか?研究者は戻ってきていますか?バグは発見が難しいクラスへ移行していますか?これらは製品とプログラムの両方において正しいことをしているサインです。
  • スコープとインセンティブを継続的に調整する。プログラムはアーキテクチャの変化、製品の成熟度、現在の脅威コンテキストに合わせて進化すべきです——そして今は、AIを活用した調査の変化する形にも対応する必要があります。
  • 提出をインシデントレスポンスの調整に活用する。テレメトリで「研究者を特定」できるようにすべきです——そして、バグを悪用する以前は未知の試みも特定してください。
  • 低品質な自動化に対する明示的な防御を構築する。構造化された提出要件、証拠ゲート、評判シグナルは、誠実なハンターに不利益を与えることなくノイズのコストを削減します。
  • 研究者を評価する。単純に聞こえますが、重要です。評価されていると感じる研究者は戻ってきます。提出を厄介者扱いするプログラムは相応の結果を招きます。

まとめ

30年が経過した今、バグバウンティは定着しています。しかし繁栄するプログラムは、進化し続けるものです。外部インセンティブ、責任ある開示、協力的なハードニングという核心的な仕組みは依然として機能しています。変わるのは規模、ツール、そしてそれらを取り巻く脅威環境です。

Sophosにとって、結論は変わりません。バグバウンティは、継続的な外部検証、迅速な対応、そして全員のベースラインを引き上げる長期的なエンジニアリング改善を通じて、セキュア・バイ・デザインの成果を実践で届ける手段の一つです。Mythosの瞬間はそのミッションを変えません。正しく実行することの重要性を高めるのです。

バグバウンティプログラムには常に課題が伴うため、慎重な管理が必要です。万能薬でも、一度設定すれば放置できるものでもありません。しかし、他のセキュリティ活動と統合され、組織と研究者の双方が誠実に協力し合うとき、その報奨は豊かなものになります。

翻訳元: https://www.sophos.com/ja-jp/blog/bug-bounties-in-the-mythos-era

ソース: sophos.com
#AIスロップ #AIセキュリティ #Bugcrowd #Sophos #サイバーセキュリティ #セキュア・バイ・デザイン #ゼロデイ脆弱性 #バグバウンティ #脆弱性リサーチ #脆弱性開示

関連記事

検出回避とランサムウェア配布を可能にするために悪用されるQEMU

コンプライアンスの複雑さはIT対応能力を上回っているのか?

SophosがGartner® Peer Insights™ 2026年カスタマーズ・チョイスに選ばれました(マネージドディテクション・アンドレスポンス)