脆弱性報告および認定をリアルタイムで行う「サイボウズ バグハンター合宿 2023」結果発表

9名の社外バグハンターが参加。2日間で52件の脆弱性を報告、うち36件を認定

2023.11.20
サイボウズ株式会社

サイボウズ株式会社(本社:東京都中央区、代表取締役社長:青野慶久、以下サイボウズ)は、2023年11月18日(土)~19日(日)の2日間で行われた、kintone(キントーン)、Garoon(ガルーン)などのサイボウズ製品の脆弱性報告および認定をリアルタイムで行う「サイボウズ バグハンター合宿 2023」において、52件の脆弱性が報告され、うち36件が認定されたことをお知らせいたします。


002.JPG
バグハンターとサイボウズ社員の集合写真
003.png
バグハンターとバグの内容を確認するCy-PSIRTチーム

「サイボウズ バグハンター合宿とは」

社外のセキュリティ技術者や研究者(バグハンター)に2日間で集中的に脆弱性を報告していただき、Cy-PSIRT(Cybozu Product Security Incident Response Team)が脆弱性認定を行う合宿です。本合宿は、2014年に第1回、2017年に第2回、2019年に第3回を開催し、第4回となる今回は、コロナ禍を経て4年ぶりの開催となりました。

「サイボウズ バグハンター合宿 2023」概要と結果

  • 開催日:2023年11月18日(土)~19日(日)
  • 場所:おんやど恵(神奈川県足柄下郡湯河原町)
  • 形式:チーム戦(脆弱性認定のスコアがもっとも高かったチームに賞品を授与。報奨金は、報告したハンター個人に支給)
  • バグハンター参加人数: 9名(1チームあたり3名、合計3チーム)
  • 脆弱性報告数:52件
  • 脆弱性認定数:36件(合宿後に再評価を行うため、変動の可能性あり)
  • 合計報奨金額:合宿後の再評価後、確定(脆弱性1件あたりの報奨金額:1万円〜200万円)

  • ※参考:前回(第3回、2019年)実施時の参加人数と結果 前回(2019年)は 、12名のバグハンターと4名のサイボウズ開発者による、合計4チームが2日間で 198 件の脆弱性を報告し、Cy-PSIRTが155件を認定。合計報奨金額は、約500万円でした。

    サイボウズ脆弱性報奨金制度について

    サイボウズでは、脆弱性報奨金制度が日本においてほとんど知られていなかった2013年11月に、初めて脆弱性発見コンテストを行いました。そして、翌年6月から脆弱性の報告に対して報奨金を支払う「サイボウズ脆弱性報奨金制度」を設立し、毎年実施してまいりました。
    これまでの脆弱性の報告は、2014年からの累計で1,715件、うち認定数は711件、報奨金は約6,350万円にのぼります。
    サイボウズでは、バグハンター合宿や脆弱性報奨金制度を通じて、脆弱性発見に関心を持っていただくと同時に、弊社製品の更なる品質向上を目指してまいります。


    サイボウズ脆弱性報奨金制度:https://cybozu.co.jp/products/bug-bounty/

    報道関係者様からのお問い合わせ先
    サイボウズ株式会社 広報部:鈴木、吉村
    〒103-6027 東京都中央区日本橋 2-7-1 東京日本橋タワー 27階
    TEL: 03-6757-1250 / MAIL: pr@cybozu.co.jp

    ※記載された商品名、各製品名は各社の登録商標または商標です。また、当社製品には他社の著作物が含まれていることがあります。個別の商標・著作物に関する注記については、こちらをご参照下さい。