いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

【ITニュース解説】“How I Bank $1k+ a Month Finding Bugs Everyone Ignores”

2025年09月18日に「Medium」が公開したITニュース「“How I Bank $1k+ a Month Finding Bugs Everyone Ignores”」について初心者にもわかりやすく解説しています。

作成日: 更新日:

ITニュース概要

多くの人が見落とすソフトウェアのバグや脆弱性を見つけ、報告することで月1000ドル以上稼ぐ方法を紹介する。システムのセキュリティ上の欠陥を発見する視点や、それが副収入につながる重要性を解説する。

出典: “How I Bank $1k+ a Month Finding Bugs Everyone Ignores” | Medium公開日:

ITニュース解説

あるセキュリティ専門家が、自動化ツールが見落としがちなウェブサイトの隠れた脆弱性を発見し、月に1000ドル以上を稼ぐ方法について解説した。この手法は、単に有名なバグを探すのではなく、見過ごされがちな細部に目を向け、深く分析することで、価値ある脆弱性を見つけるというものだ。システムエンジニアを目指す人にとって、セキュリティの基礎と実践的な視点を得る上で非常に参考になるだろう。

彼は、企業が自社の製品やサービスのセキュリティ上の欠陥(バグや脆弱性)を発見した人に報酬を支払う「バグバウンティプログラム」を利用している。一般的なバグハンターが広く知られた重大な脆弱性(例えばリモートコード実行など)を追うのに対し、彼はもっと「地味」だが確実に存在する脆弱性に注目する。自動スキャンツールでは見つけにくい、手動での探索と深い思考が求められる領域だ。

この専門家が実践する具体的な戦略は、いくつかの段階に分けられる。まず「偵察」と呼ばれる情報収集のフェーズだ。

一つ目は「サブドメインの列挙」だ。これは、ある企業が持つ様々なウェブサイトのサブドメイン(例えばdev.example.comtest.example.comなど)を探し出す作業である。企業のメインサイトは厳重にセキュリティ対策されていることが多いが、開発用やテスト用、あるいは古いサービス用のサブドメインは、セキュリティがおろそかになっているケースがある。ここに脆弱性が潜んでいる可能性が高い。

二つ目は「JavaScriptファイルの分析」である。ウェブサイトの動作を制御するJavaScriptファイルには、APIキー、認証情報、隠されたエンドポイント(特定の機能への入り口)、あるいは古いバージョンのライブラリのパスなど、開発者が意図せず残してしまった機密情報が含まれていることがある。これらの情報を手作業で丹念に scrutinize(精査)することで、思わぬ手がかりが見つかる。

三つ目は「Wayback Machineの活用」だ。Wayback Machineは、インターネットアーカイブサービスの一つで、過去のウェブサイトの姿を見ることができる。これにより、現在では削除されたページや機能、あるいは古いバージョンのアプリケーションが公開されていた時期の情報を手に入れ、そこに存在したかもしれない脆弱性のあるエンドポイントや設定を発見する。

四つ目は「コンテンツの発見」である。これは、ウェブサーバー上に存在する可能性のある一般的なディレクトリ名やファイル名(例:/admin/backup.envなど)を推測してアクセスを試み、公開されるべきではない情報や管理インターフェースを探す手法だ。

五つ目は「パラメータマイニング」だ。ウェブサイトへのリクエストには、URLの末尾に?id=123のような形でパラメータが付与されていることがある。このパラメータの値を様々に変化させたり、隠されたパラメータを推測して追加したりすることで、通常ではアクセスできない機能や脆弱なエンドポイントを発見する。

これらの偵察フェーズで得られた情報を元に、実際に脆弱性を探し出す「脆弱性探索」のフェーズへと進む。

特に彼が重視するのは「ビジネスロジックの欠陥」である。これは、アプリケーションの設計や業務フロー自体に存在する論理的な欠陥を突くものだ。例えば、オンラインストアで割引コードを何回でも適用できてしまったり、他のユーザーのカート内容を閲覧できてしまったり、本来一度しか使えないクーポンが複数回使用できてしまうようなケースがこれにあたる。このような脆弱性は、自動ツールではまず発見できず、アプリケーションの機能を深く理解し、人間の思考と想像力を働かせなければ見つけられない。

また、「アクセス制御の不備」も重要な発見対象である。これは、認証されていない状態のユーザーや、権限の低いユーザーが、本来アクセスできないはずの管理者ページや機密情報にアクセスできてしまう脆弱性のことだ。

さらに、「情報漏洩」も常に注意すべき点である。エラーメッセージの詳細、ウェブサイトのソースコード内のコメント、設定ファイルなどから、システムの内部構造や認証情報、APIキーなどの機密情報が漏れていないかを確認する。

その他にも、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)といった、ウェブアプリケーションでよく見られる脆弱性も、見過ごされがちな場所(例えばエラーページや普段使われないサブドメインなど)から見つかる場合があるため、注意深く探すという。

この専門家が強調するのは、成功の秘訣はツールに全面的に依存するのではなく、深い思考力、常に疑問を持つ好奇心、そして何よりも忍耐力であるということだ。自動ツールは出発点に過ぎず、その結果を深く分析し、アプリケーションの動作原理やビジネスロジックを理解しようと努めることが、真の価値ある脆弱性を見つける鍵となる。システムエンジニアを目指す上で、このような実践的なセキュリティの視点と探究心は、非常に重要なスキルとなるだろう。

関連コンテンツ

関連IT用語