サイボウズ脆弱性報奨金制度10周年、脆弱性報告および認定をリアルタイムで行う「サイボウズ バグハンター合宿 2025」開催

サイボウズ株式会社（本社：東京都中央区、代表取締役社長：青野慶久、以下サイボウズ）は、2025年7月5日(土) から7日(月)の3日間で行われた「kintone（キントーン）」「Garoon（ガルーン）」などのサイボウズ製品の脆弱性報告および認定をリアルタイムで行う「サイボウズ バグハンター合宿 2025」において61件の脆弱性が報告され、うち39件が認定されたことをお知らせいたします。サイボウズの脆弱性報奨金制度は今年で10周年となります。　

■「サイボウズ バグハンター合宿」とは

社外のセキュリティ技術者や研究者（バグハンター）に3日間で集中的に脆弱性を報告していただき、Cy-PSIRT（Cybozu Product Security Incident Response Team）が脆弱性認定を行う合宿です。本合宿は、2014年から開催しており今回は5回目の開催となりました。今回の開催においては、リリース前の新機能を用意するほか、特定の製品に対してスコアが大幅に上昇する「フィーバータイム」など、参加者の脆弱性報告を促進する仕組みも導入しました。

■「サイボウズ バグハンター合宿 2025」概要と結果

・開催日：2025年7月5日(土) から 7日(月)

・場所：マホロバ・マインズ三浦（神奈川県三浦市南下浦町上宮田3231）

・形式：チーム戦（脆弱性認定のスコアがもっとも高かったチームに賞品を授与。報奨金は、報告したハンター個人に支給）

・対象製品：kintone AI、kintone ワイドコース、Garoon（パッケージ版）など

・バグハンター参加人数： 8名（1チームあたり4名、合計2チーム）

・脆弱性報告数：61件

・脆弱性認定数：39件（合宿後に再評価を行うため、変動の可能性あり）

・合計報奨金額：合宿後の再評価後、確定（脆弱性1件あたりの報奨金額：1万円〜200万円）

■サイボウズ脆弱性報奨金制度について

サイボウズでは、脆弱性報奨金制度が日本においてほとんど知られていなかった2013年11月に、初めて脆弱性発見コンテストを行いました。そして、翌年6月から脆弱性の報告に対して報奨金を支払う「サイボウズ脆弱性報奨金制度」を設立し、毎年実施してまいりました。

これまでの脆弱性の報告は、2015年から2024年までの累計で1,941件、うち認定数は784件、報奨金は約7,400万円にのぼります。

サイボウズでは、バグハンター合宿や脆弱性報奨金制度を通じて、脆弱性発見に関心を持っていただくと同時に、弊社製品の更なる品質向上を目指してまいります。

サイボウズ脆弱性報奨金制度：https://cybozu.co.jp/products/bug-bounty/