ヤマガタさんから心配されてますけど、はせがわは真面目な人間なので大丈夫ですｗ
そりゃ脆弱性みつけて報酬がもらえるなら嬉しいですけれど、報酬を目的とするには私の報告はあまりに雑なので。細かく調査して出すにも今以上の時間を捻出するのは無理ですし。
IPAのよいところは、ある程度脆弱性がありそうだという「可能性」を見つけた時点で以降の調査を引き受けてくれ、調べる側が不正アクセスへの「寸止め」で済むというのと同時に、調査に費やす時間も大きく節約してくれる点です。ってわけで、よい子のみんなはおかしなソフトとかWebアプリケーションを見つけたらどんどんIPAに報告しましょう。

ちなみに、IPA では脆弱性情報の届け出先として、Web から情報を入力できるフォームを ソフトウエア製品脆弱性関連情報の届出用 および ウェブアプリケーション脆弱性関連情報の届出用 としてそれぞれ用意していますが、これを使って届け出た場合、手元に届け出た内容の控えが残りませんので、注意しましょう*1。
…それ以外にも、ソフトウェア製品とウェブアプリケーションとで手続きが若干異なったり、「自動応答」といいつつ人間が起きてそうな時間でないと返事が来ないなど細かな注意点もいろいろありますね。