HackerOneは2018年1月17日(米国時間)、「The 2018 Hacker Report|HackerOne」において「2018 Hacker Report」の注目点として、バグバウンティ(脆弱性報奨金制度)について伝えている。同調査は、ハッカーコミュニティに対して実施された調査としては過去最大のもので1698名から回答を得たとしている。

バグバウンティプログラムで支払われた報奨金のうち、米国で実施されたバグバウンティプログラムで支払われた金額が全体の67%を占めている。これにカナダとドイツが続いているが、それぞれ5%、2%と小さい割合にとどまっており、バグバウンティプログラムの7割ほどが米国で実施されていることがわかる。

  • 国別バグバウンティ報奨金支払い金額と支払先地域 - 資料: HackerOne提供

    国別バグバウンティ報奨金支払い金額と支払先地域 - 資料: HackerOne

しかし、米国からの参加者に支払われた報奨金は17%ほどで、これにインドの13%、オーストラリアの5%、ロシアの5%、英国の4%が続いている。バグバウンティプログラムは7割が米国で開催されているが、支払いは世界中のハッカーに分散していることになる。

  • ハックを実施する主な理由 - 資料: HackerOne提供

    ハックを実施する主な理由 - 資料: HackerOne

国や地域によってはバグバウンティプログラムの報奨金は給与の支払いの何倍にもなっており、こうした状況がバグバウンティプログラムへの参加を促す動機になっているものと見られる。事実、これまでの調査では報奨金目的での取り組みが動機の第1位になっていた。

しかし、今回の調査では、バグバウンティプログラムに参加する理由として「ティップやテクニックの習得」「挑戦したいから」「面白いから」といったように知的好奇心を満たす行為であることが上位に挙げられている。