🛡 概要
バグバウンティプラットフォームのHackerOneは、過去12ヶ月間で全世界のホワイトハットハッカーに8100万ドルの報酬を支払いました。このプラットフォームは1950以上のバグバウンティプログラムを管理し、多くの組織に脆弱性開示、ペネトレーションテスト、コードセキュリティサービスを提供しています。顧客にはAnthropic、Crypto.com、General Motors、GitHub、Goldman Sachs、Uber、さらにはアメリカ国防総省などの政府機関が含まれています。
🔍 技術詳細
最新の報告によると、全てのアクティブなプログラムの平均年間支払額は約4万2000ドルであり、2024年7月1日から2025年6月30日までの間に、プラットフォーム上のトップ100のバグバウンティプログラムが5100万ドルを支払っています。この12ヶ月間で、HackerOneのバグバウンティプログラムは前年比13%増の8100万ドルを支払ったと発表されています。特に、AIに関連する脆弱性は前年比200%増加し、プロンプトインジェクション脆弱性は540%の急増を見せています。これにより、AIセキュリティにおける最も急成長している脅威であることが確認されました。
⚠ 影響
セキュリティ問題としては、XSS(クロスサイトスクリプティング)やSQLi(SQLインジェクション)が減少傾向にある一方で、不適切なアクセス制御やIDOR(不正な直接オブジェクト参照)を含む認可の欠陥が報告数の大幅な増加を見せています。2025年にはHackerOneの1121のバグバウンティプログラムがAIを対象にしており、前年比270%の増加が見られます。また、調査によると、過去1年にわたり820人以上の研究者の70%がAIツールを利用しており、ハンティング能力を向上させています。
🛠 対策
企業はAIのセキュリティイニシアチブを昨年のほぼ3倍のペースで拡大しており、HackerOneのCEOであるカーラ・スプラッグは「新世代のバイオニックハッカーが、AIを利用してハンティング能力を強化し、前例のない規模でセキュリティ問題の発見を推進しています」と述べています。企業はAI関連の脆弱性を軽減するため、バグバウンティプログラムを活用し、セキュリティ専門家の研究を支援する必要があります。
