出典: Khosrow Rajab Kordi via Alamy Stock Photo
HackerOneは最近、過去6年間でバグ報奨金プラットフォームが50人の新しいミリオネアを生み出したと発表しました。これは、企業がソフトウェアのセキュリティ脆弱性を見つけ出すのを助けるために、簡単にアクセスできるプラットフォームを提供し、大きな報酬を支払うことで実現しました。
しかし、倫理的ハッキングで生計を立てるのは、かつてはこれほど簡単ではありませんでした。HackerOneによれば、「周縁活動から経済的に実行可能な職業への」文化の変化がありました。この変化は偶然ではなく、情報セキュリティの初期のパイオニアたちの意志によって意図的に作られたものです。
ケビン・ミトニックはその完璧な例です。彼はわずか17歳でFBIの最重要指名手配リストに載ったにもかかわらず、業界のトップに躍り出ました。この経験に恐れをなし、彼は成長し、その天才を脅威アクターからネットワークを守ることに捧げました。そして2023年に彼が亡くなった時、ミトニックはサイバーセキュリティの「ハッカースーパーヒーロー」として称賛されました。
2019年9月、Gary De MercurioとJustin Wynnという2人のペンテスターが、アイオワ州ダラス郡の裁判所で契約に基づく評価を行っていたために逮捕されました。数年にわたる法的闘争の末、最終的に告発は取り下げられましたが、彼らは依然として雇用の背景調査やクリアランスの取得に苦労しており、最近のDark Reading Confidentialエピソードで説明しました。
逮捕当時、Wynnは広範なハッカーコミュニティからの支援が圧倒的だったと述べました。
「多くのハッカー、私たちを支援してくれたコミュニティが『アイオワから撤退する』と言いました」とWynnは説明しました。「[コミュニティは]『もしこれが私たちへの扱いなら、そこでの仕事はしない』と言いました。」
これら初期の倫理的ハッカーたちは、多くのバグハンターを貧困から救い出し、かつて「アウトサイダー」と見なされていた他の人々をシーンに引き込みました。
倫理的ハッキングの文化的進化は、TikTok、Anthropic、Hyatt、Snap、Adobe、国防総省などの企業にも浸透しており、これらは「今やバグ報奨金プログラムをセキュリティ戦略の基本部分として積極的に受け入れている」とHackerOneは50人のミリオネアのマイルストーンについての声明で述べました。
Googleは2024年に1,200万ドルのバグ報奨金を支払い、OpenAIは最高のバグ報奨金を10万ドルに引き上げ、Salesforceは最近、セキュリティの欠陥からAIのバイアスまでをテストするために、すでに2,300万ドルをバグ報奨金プログラムに投資したと発表しました。
そして、そのすべての現金が世界中の多くの倫理的ハッカーの生活を変えています。
関連記事:ミッション中心から人中心へ:サイバーにおける競争力のあるリーダーシップ
ハッカーヒーローはどこからでも、どこにでも現れる
ホームレスで全く資格を持たない倫理的ハッカーNieko “Specters” Riveraは、数年前のDEFCONでBugcrowdの代表者の目に留まりました。今では、バグ報奨金の収入のおかげで、彼は家を探し、ヒスパニックコミュニティの他の人々に業界でのスタートを提供しようとしています。
「正直に言うと、偶然の出来事でした。DEFCONでの車のハッキングコンペティションに参加していて、『この秘密のイベントにサインアップしろ』というカードを渡されたので、そうしました」とSpectersは言います。「それはBugcrowdがスポンサーする車のハッキングイベントで、そこで私の最初の大きな脆弱性を発見しました。」
Spectersは、自分のユニークな個人的経験が成功したバグハンターになる要因だと言います。
「さまざまなコミュニティに参加し、関わることで、組織に侵入する方法について多くの異なる視点を得ることができました」とSpectersは付け加えます。「個人的には、最高のセキュリティチームを作りたいなら、さまざまな人生経験を持つ多くの人々を雇ってシステムに侵入させるべきだと思います。」
彼は、他の組織も多様な背景を持つ人材を採用し維持することで利益を得ることができると述べ、採用担当者に通常のチャネル外で才能を探すよう促します。「多くの企業は、トップクラスの大学の大規模なコンピュータサイエンスプログラムの候補者しか見ていません。特に少数派の素晴らしい人々が、学位を持っていないか、後になってから学び始めたという理由だけで見過ごされるのをたくさん見てきました。」
関連記事:米国の重要インフラはOTセキュリティで依然として苦戦中
HackerOneやBugcrowdのようなバグ報奨金プラットフォームは、確かに多くの才能のプールに開かれています。Bugcrowdのコミュニティは30万人弱に広がっており、昨年だけで5万人が参加しました。HackerOneは200万人以上のコミュニティを主張しています。
「私の知っている多くの人々は大学を考えたこともありませんが、ハッキンググループや他のクリエイティブなシーンで成功しています」とSpectersは付け加えます。「本当に最高の人材を見つけたいなら、通常のチャネルを抜け出し、予想外の場所で探す必要があります。」
HackerOneの最新の7桁のハッカーリストには、アルゼンチン出身の19歳や、アジア、オーストラリア、北アメリカ、ヨーロッパからの他の5人が含まれています。
「ハッキングは、ラップトップと物を壊すことへの好奇心を持つ誰にでも扉を開くことができます」と、HackerOneの最新のミリオネアバグハンターの一人であるMark Litchfieldは声明で述べました。「私たちの成果が、若いハッカーや年配のハッカーにスキルを試し、私たちの支援的なコミュニティに参加し、途中でいくらかの追加の収入を得て、インターネットをより安全な場所にすることを奨励することを願っています。」