脆弱性報告および認定をリアルタイムで行う「サイボウズ バグハンター合宿 2023」結果発表

バグハンターとサイボウズ社員の集合写真

バグハンターとバグの内容を確認するCy-PSIRTチーム

■「サイボウズ バグハンター合宿」とは

社外のセキュリティ技術者や研究者（バグハンター）に2日間で集中的に脆弱性を報告していただき、Cy-PSIRT（Cybozu Product Security Incident Response Team）が脆弱性認定を行う合宿です。本合宿は、2014年に第1回、2017年に第2回、2019年に第3回を開催し、第4回となる今回は、コロナ禍を経て4年ぶりの開催となりました。

■「サイボウズ バグハンター合宿 2023」概要と結果

・開催日：2023年11月18日（土）～19日（日）

・場所：おんやど恵（神奈川県足柄下郡湯河原町）

・形式：チーム戦（脆弱性認定のスコアがもっとも高かったチームに賞品を授与。報奨金は、報告したハンター個人に支給）

・バグハンター参加人数： 9名（1チームあたり3名、合計3チーム）

・脆弱性報告数：52件

・脆弱性認定数：36件（合宿後に再評価を行うため、変動の可能性あり）

・合計報奨金額：合宿後の再評価後、確定（脆弱性1件あたりの報奨金額：1万円〜200万円）

※参考：前回（第3回、2019年）実施時の参加人数と結果

前回（2019年）は 、12名のバグハンターと4名のサイボウズ開発者による、合計4チームが2日間で 198 件の脆弱性を報告し、Cy-PSIRTが155件を認定。合計報奨金額は、約500万円でした。

■サイボウズ脆弱性報奨金制度について

サイボウズでは、脆弱性報奨金制度が日本においてほとんど知られていなかった2013年11月に、初めて脆弱性発見コンテストを行いました。そして、翌年6月から脆弱性の報告に対して報奨金を支払う「サイボウズ脆弱性報奨金制度」を設立し、毎年実施してまいりました。

これまでの脆弱性の報告は、2014年からの累計で1,715件、うち認定数は711件、報奨金は約6,350万円にのぼります。

サイボウズでは、バグハンター合宿や脆弱性報奨金制度を通じて、脆弱性発見に関心を持っていただくと同時に、弊社製品の更なる品質向上を目指してまいります。

サイボウズ脆弱性報奨金制度：https://cybozu.co.jp/products/bug-bounty/