2020年 報奨金制度を振り返って

こんにちは!Cy-PSIRTの純平です。 本エントリでは脆弱性報奨金制度の2020年の結果について振り返ります。

サイボウズ報奨金制度のキャラクター
サイボウズ報奨金制度のキャラクター

脆弱性報奨金制度とは

製品やサービスに存在する脆弱性を発見し、報告することで報告内容に応じた報奨金を受け取れる制度です。 現在ではHackerOneBugBounty.jpといった、脆弱性報奨金制度のプラットフォームも存在しています。 サイボウズでは2014年より自社運営でスタートして以来、毎年多くのセキュリティ専門家の方々にご報告いただいています。

詳しくは下記リンクを御覧ください。
https://cybozu.co.jp/products/bug-bounty/

また、皆様に安心して検証していただけるように、本番環境とは隔離された検証用環境をご用意しています。 フォームから申し込むだけで検証専用環境をお渡しいたします。どなたでもお申し込み可能ですのでぜひお申し込みください。

form.kintoneapp.com

2020年に実施した報奨金制度の結果

着信数および認定数

着信数認定数(暫定)報奨金支払金額(暫定)
131件40件2,520,000円

2020年報奨金制度の着信数,認定数及び支払金額のグラフ

認定数, 報奨金支払金額が減少した要因

上記のグラフの通り2019年と比較して 着信数は約80%、認定数は約78% そして報奨金支払金額は約84%の減少となっています。 2020年の報奨金制度から、対象製品をいくつか減らしたことが要因の一つだと考えられます。 その他詳しい変更点は以下の記事を御覧ください。 blog.cybozu.io

各種ランキング

報奨金ランキング

獲得した報奨金額の合計が最も多かったのは、yousukezan(三井物産セキュアディレクション株式会社)様でした。おめでとうございます。

2020年は毎年多く報告いただいてる方をはじめ、新しく参加頂いた方や海外のハンターの方からの報告も見られ、 日本国外からの報告が約半分を占める結果となりました。

順位掲載名
1位 yousukezan(三井物産セキュアディレクション株式会社) 様
2位閏間 修一 様
3位(掲載名-非公開)
4位Masato Kinugawa 様
5位塚崎椋也(@Force_Access) 様

脆弱性1件あたりの高額ランキング

報告いただいた脆弱性1件あたりの報奨金額が高額だった方のランキングです。報奨金ランキングにもランクインされていました、閏間 修一 様に報告いただいた脆弱性が1位でした。おめでとうございます。

順位掲載名
1位 閏間 修一 様
2位yousukezan(三井物産セキュアディレクション株式会社) 様
3位Masato Kinugawa 様
4位(掲載名-非公開)
5位塚崎椋也(@Force_Access) 様

ポイントランキング

2019年から始まったポイント制度。「報告内容の正確さ」や「技術的な面白さ」など様々な視点でポイントが付与されます。また脆弱性として認定にならなかった挙動に関しても仕様への指摘などの有益なご報告に対してもポイントが付与されます。 さらに、獲得したポイントに応じて賞品をお送りしております。2020年は100pt達成のノベルティの他に終了時点での上位3名向けの豪華ノベルティ、更には300pt達成した方への賞品もお送りさせていただきました。 ポイント制度の詳細はサイボウズ報奨金制度ルールブックをご確認ください。

順位掲載名
1位 yousukezan(三井物産セキュアディレクション株式会社) 様
2位閏間 修一 様
3位Masato Kinugawa 様
4位niwasaki 様
5位塚崎椋也(@Force_Access) 様

CWE別報告数

2020年の報告では「CWE-264:認可・権限・アクセス制御」の報告が最多の18件となり、「CWE-79:XSS」が7件と続く形となりました。 近年ではXSSやSQLインジェクションはフレームワークの機構により発生しにくくなってきており、フレームワークでは防げないアクセス制御の報告が増えて来ています。 先日発表されたOWASP Top 10 2021でもOWASP Top 10 2017で5位だった「Broken Access Control」が1位になっており、サイボウズでもそれに倣うような傾向になりました。 このことからサイボウズによらず世界的に見てもアクセス制御に関する脆弱性が顕著化してきていることがわかります。

CWE毎の報告数

さいごに

ユーザーの皆さまが安心してご利用いただけるよう製品のセキュリティ品質向上を目的として活動すると共に、ハンターの方にとっても魅力的な制度であり続けるため、年々改善を続けています。 「サイボウズにこのような企画や施策を実施してほしい」というご要望がありましたら、 報告用サイトやメールでproductsecurity@cybozu.co.jpまでお気軽にご連絡いただければ幸いです。

今後とも、よろしくお願いいたします。