概要
バグバウンティプラットフォームのHackerOneは、過去12ヶ月間で世界中のホワイトハットハッカーに8,100万ドルの報奨金を支払いました。
HackerOneは1,950以上のバグバウンティプログラムを管理し、脆弱性開示、侵入テスト、コードセキュリティサービスを多くの組織に提供しています。顧客にはAnthropic、Crypto.com、General Motors、GitHub、Goldman Sachs、Uber、そして米国国防総省などの政府機関が含まれます。
報奨金支払いの詳細
今週発表されたレポートによると、全アクティブプログラムにおける年間平均支払い額は約42,000ドルです。また、プラットフォーム上の上位100のバグバウンティプログラムは、2024年7月1日から2025年6月30日の間に5,100万ドルを支払いました。
HackerOneは次のように述べています。「過去12ヶ月間で、HackerOneのバグバウンティプログラムは合計で8,100万ドルを支払い、これは前年比で13%の増加です。上位10プログラムだけで2,160万ドルを占めました。」「研究者レベルでは、歴代上位100人の獲得者は合計で3,180万ドルを獲得しており、個々の研究者は継続的に年間6桁の収入を超えています。」
脆弱性のトレンドとAIの影響
HackerOneは、AI関連の脆弱性が200%以上増加したと指摘しており、特にプロンプトインジェクションの脆弱性は540%という驚異的な急増を見せ、AIセキュリティにおける最も急速に成長している脅威であることを裏付けています。
同時に、XSS(クロスサイトスクリプティング)やSQLi(SQLインジェクション)といったセキュリティ問題は減少傾向にありますが、不適切なアクセス制御やIDOR(不適切な直接オブジェクト参照)を含む認証関連の欠陥は報告数が大幅に増加しています。
2025年には、HackerOne上の1,121のバグバウンティプログラムがAIをスコープに含み、これは前年比で270%の増加です。また、自律型AIパワードエージェントが560件以上の有効なレポートを提出しました。同社は、過去1年間に調査した1,820人以上の研究者のうち、70%がワークフローでAIツールを使用し、「ハンティング能力を向上させている」と付け加えています。
HackerOne CEOのコメント
HackerOneのCEOであるKara Sprague氏は次のように述べています。「AIの脆弱性は今年200%以上増加し、企業はAIセキュリティへの取り組みを昨年の約3倍のペースで拡大しました。同時に、AIを活用してハンティング能力を高める新世代の『バイオニックハッカー』が、前例のない規模でセキュリティ問題の発見を推進しています。」