脆弱性報奨金制度

脆弱性報奨金制度(ぜいじゃくせいほうしょうきんせいど、: bug bounty program)は、製品やサービスを提供する企業が、その製品の脆弱性(特にエクスプロイトセキュリティホールなど)に関する報告を外部の専門家や研究者から受け、その対価として報奨金を支払う制度[1][2]。この制度を利用することで、開発者は一般のユーザーが気付く前にバグを発見し、対処できるため、広範囲に渡る可能性のあるインシデントを事前に防げる。MozillaFacebookYahoo!Googleマイクロソフト、日本ではサイボウズピクシブLINEなど、多くのウェブサイトや組織、ソフトウェア開発者が導入している。バグバウンティプログラムバグ報奨金プログラムとも呼ばれ、導入する組織によっては独自の制度名が付けられている場合もある。

歴史

1983年リアルタイムオペレーティングシステムであるVersatile Real-Time Executive英語版向けの脆弱性報奨金制度が、システムを開発したハンターとレディによって開始された。この制度が初めて適用された事例として知られており、脆弱性の発見者には、見返りとして「バグ」の通称でも知られるフォルクスワーゲン・タイプ1(ビートル)が贈られた[3]

1995年ネットスケープコミュニケーションズのテクニカルサポートエンジニアであるJarrett Ridlinghaferが、「バグバウンティ」(Bugs Bounty) という言葉を造った。ネットスケープは従業員に対し、自分自身を追い込み、仕事を成し遂げるために必要なことは何でも実行するよう奨励していた。Ridlinghaferは、ネットスケープには多くの製品愛好家や伝道者が存在することを認識しており、その一部はネットスケープのブラウザに熱狂的であると考えていた。この現象をより詳細に調査すると、熱心な人の多くはソフトウェアエンジニアであり、製品のバグを自ら修正し、ネットスケープのテクニカルサポート部門によって設置されたオンラインフォーラムや、「Netscape U-FAQ」といった非公式のFAQサイトを立ち上げ、バグの修正や回避方法を公開していると分かった。Ridlinghaferは、企業がこれらのリソースを活用するべきと考え、「ネットスケープ バグバウンティプログラム」(Netscape Bugs Bounty Program) を提案。同年10月10日Netscape Navigator 2.0 ベータ版ブラウザ向けの最初の制度を開始した[4][5]。当初はノベルティグッズといった景品が贈られていたが、その後はハッキングコンテストの開催など規模を大きくし、高額な賞金が贈られるようになった[2]

脆弱性の開示方針に関する論争

Facebookの脆弱性開示

バグを報告する研究者に与えられるFacebookの「ホワイトハット」デビットカード(2014年に発行停止)

2013年8月、パレスチナの研究者Khalil Shreatehが、誰でも任意のFacebookアカウントに動画を投稿できる脆弱性を報告した。ShreatehとFacebook間の電子メールによると、ShreatehはFacebookの脆弱性報奨金制度「ホワイトハット」を利用して脆弱性を報告したが、「バグではない」と否定された。後にShreatehは、この脆弱性を悪用し、マーク・ザッカーバーグのFacebookプロフィール上にこれまでの経過についてを投稿したが、Shreatehのアカウントは一時的に無効化された。当該の脆弱性は修正されたものの、Shreatehの報告は制度の規定に違反しているとして、報奨金は支払われなかった[6][7][8]

Uberの情報漏洩事件

→「Uber § データ漏洩の公表遅延」も参照

2016年Uberの乗客とドライバー約5700万人の個人情報が漏洩するセキュリティインシデントが発生した。Uberは事件についてユーザーや当局に隠蔽したまま、攻撃者に対し、漏洩の事実を口外しないことやデータの削除と引き換えに、10万ドルを支払ったとしている[9][10]。この事件への対応の一環として、UberはHackerOne英語版と協力して制度のポリシーを更新し、善意による脆弱性の調査と開示について、行動の制約をより明確に規定した[11]

ストアクレジットを提供した事例

Yahoo!では、自社サービスにおける脆弱性の発見や報告への対価として、セキュリティ研究者へYahoo!のオリジナルTシャツを贈ったことで厳しく非難され、「Tシャツゲート」(T-shirt-gate) と呼ばれ、注目を集めた[12]スイスジュネーヴに本社を置くセキュリティ関連企業であるHigh-Tech Bridgeは、「Yahoo!は報告を受けた脆弱性1件に対し、Tシャツやカップ、ペンなどYahoo!ブランドの商品の購入に使用できる12.50ドルのストアクレジットを提供している」という内容のプレスリリースを発行した。Yahoo!のセキュリティチームの責任者であるRamses Martinezは、後にブログにおいて、「(脆弱性の報告に対して報酬を贈るような)正式なプロセスが無く、個人的な『感謝』としてTシャツを送り始めた。基本的に自費で購入していた。」と主張している[13]。また、すでにTシャツを所持している者に対しては、ギフト券や手紙を送ったとしている。2013年10月31日、Yahoo!は新しい脆弱性報奨金制度を開始。これにより、セキュリティの研究者はバグを報告し、判明したバグの重大度に応じて、250ドルから最大1万5000ドルの報奨金を受け取れるようになった[14]

同様の事例として、マレーシアの産業用制御システム (ICS) を開発するEcava英語版が2013年に本制度を開始したとき[15][16]、セキュリティの研究者に現金の代わりとして、ストアクレジットを贈ったことで批判された[17]。Ecavaは批判に対し、この制度は当初、限定的に運用することを意図しており、ICSソフトウェアであるIntegraXor SCADA英語版のユーザーに対する安全の観点に焦点を当てたと説明している[15][16]

制度の地理的な広がり

本制度の利用は世界的にも広がりを見せているが、一握りの国がより多くのバグを報告し、より多くの報奨金を受け取る傾向がある。特に、アメリカインドは研究者によるバグ報告数が多く[18]2018年に発行されたハッカーレポートによると、バグハンター(脆弱性を探す研究者)の多さは、インドが世界で1番、もしくは2番目に位置する[19]。Facebookの制度上においても、2017年に有効とされた報告件数が最も多かった国はインドであり、アメリカとトリニダード・トバゴが続いた[20]

著名な制度の例

Google VRP

GoogleはChromeウェブブラウザのセキュリティ強化に向けて、2010年に本制度を試験的に導入した[21]。2013年10月、Googleは制度「Vulnerability Reward Program」(VRP) の大きな変更を発表した。これまでは多くのGoogle製品を網羅する制度であったが、この移行により、主にコンピュータネットワーク用または、低レベルのオペレーティングシステム機能用に設計された、リスクの高いオープンソースソフトウェアライブラリを含むように拡張。2017年には、Google Play ストアから入手できるサードパーティー製のアプリケーションも含むよう制度を拡張した[22]。2010年に制度を開始して以来、2019年までに報奨金として合計2100万ドル以上、2019年は例年のおよそ2倍となる650万ドルを支払っている[23]

The Internet Bug Bounty

マイクロソフトとFacebookは2013年11月に提携し、インターネットに関連する様々なソフトウェアのエクスプロイトを報告することで報酬を提供するプログラム「The Internet Bug Bounty」(IBB) を後援している[24]。2017年にはGitHubフォード財団も後援に加わり、Uberやマイクロソフト、Facebook、アドビシステムズ、HackerOne、GitHub、NCC Group、Signal Sciencesなどのボランティアによって管理されている[25]。IBBは、Adobe FlashPythonRubyPHPDjangoRuby on RailsPerlOpenSSLnginxApache HTTP ServerPhabricatorといったソフトウェアを網羅するだけでなく、広く使用されているオペレーティングシステムやウェブブラウザなど、インターネット全体に影響を与えるようなエクスプロイトに対する報酬を提供している[26]

Hack the Pentagon

本制度はテクノロジー業界に留まらず、アメリカ国防総省 (DoD) のような保守的な組織においても利用されている。2016年3月、ピーター・クックはDoDにとって最初の制度である「Hack the Pentagon」を発表した[27][28]。制度は同年4月18日から5月12日までの期間限定で実施され、1400人以上のユーザーがHackerOneを通じ、138件の有効な脆弱性の報告を行った。DoDは合計で7万1200ドルを支払った[29][30]

脚注

  1. ^ 高橋睦美 (2019年9月30日). “年間6200万ドル規模「バグ報告への報酬金」 IoT・ICS領域にも拡大?”. ITmedia NEWS. 2020年6月10日閲覧。
  2. ^ a b 吉澤亨史 (2017年12月26日). “メリット多き「脆弱性報奨金制度」--健全なハッカー育成にも寄与”. ZDNet Japan. 2020年6月7日閲覧。
  3. ^ The first "bug" bounty program”. Twitter (8 July 2017). 5 June 2018閲覧。
  4. ^ Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0”. Internet Archive. May 1, 1997時点のオリジナルよりアーカイブ。21 Jan 2015閲覧。
  5. ^ Cobalt Application Security Platform”. Cobalt. 2016年7月30日閲覧。
  6. ^ 冨岡晶 (2013年8月22日). “Facebook社CEOマーク・ザッカーバーグ氏がハッキング被害に、パレスチナ人研究者がセキュリティホール指摘のため行いバグを証明(ソフォス)”. ScanNetSecurity. 2020年6月7日閲覧。
  7. ^ 鈴木聖子 (2013年8月20日). “Facebookのバグ発見者、ザッカーバーグCEOのタイムラインを使って報告”. ITmedia エンタープライズ. 2020年6月7日閲覧。
  8. ^ Zuckerberg's Facebook page hacked to prove security flaw”. CNN (20 August 2013). 17 November 2019閲覧。
  9. ^ Darrell Etherington (2017年11月22日). “Uberは2016年にデータ漏洩事件を起こし、5700万人の乗客とドライバーが影響を受けていた”. TechCrunch. 2020年6月7日閲覧。
  10. ^ 白井良 (2017年11月22日). “Uberが5700万の個人情報を漏洩、1年間知らせず”. 日経クロステック. 2020年6月7日閲覧。
  11. ^ Uber Tightens Bug Bounty Extortion Policy”. Threat Post (27 April 2018). 4 June 2018閲覧。
  12. ^ Yahoo changes bug bounty policy following 't-shirt gate'”. ZDNet (2013年10月3日). 2020年6月10日閲覧。
  13. ^ Bug Bounty, Yahoo!. “So I'm the guy who sent the t-shirt out as a thank you”. Ramses Martinez. 2 October 2013閲覧。
  14. ^ BugBounty Program, Yahoo!. “Yahoo! launched its Bug Bounty Program”. Ramses Martinez. 31 October 2013閲覧。
  15. ^ a b More on IntegraXor's Bug Bounty Program”. Digital Bond (23 July 2013). 21 May 2019閲覧。
  16. ^ a b SCADA vendor faces public backlash over bug bounty program”. CSO (18 July 2013). 21 May 2019閲覧。
  17. ^ SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program”. Security Week (16 July 2013). 21 May 2019閲覧。
  18. ^ The 2019 Hacker Report”. HackerOne. 23 March 2020閲覧。
  19. ^ Bug hunters aplenty but respect scarce for white hat hackers in India”. Factor Daily (8 February 2018). 4 June 2018閲覧。
  20. ^ Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers”. Facebook (11 January 2018). 4 June 2018閲覧。
  21. ^ Chromeブラウザの脆弱性情報に500ドルの報酬、Googleが新制度”. ITmedia エンタープライズ (2010年2月1日). 2020年6月10日閲覧。
  22. ^ Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play”. The Verge (22 October 2017). 4 June 2018閲覧。
  23. ^ グーグルのバグ報奨金プログラム、2019年の支払額は過去最高の650万ドル”. ZDNet Japan (2020年1月30日). 2020年6月10日閲覧。
  24. ^ Goodin, Dan (6 November 2013). “Now there's a bug bounty program for the whole Internet”. Ars Technica. 11 March 2014閲覧。
  25. ^ Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure”. VentureBeat (21 July 2017). 4 June 2018閲覧。
  26. ^ The Internet Bug Bounty”. HackerOne. 11 March 2014閲覧。
  27. ^ 米国防総省がハッカー公募、サイト脆弱性発見に報奨金”. AFPBB News (2016年3月3日). 2020年6月10日閲覧。
  28. ^ DoD Invites Vetted Specialists to 'Hack' the Pentagon”. U.S. DEPARTMENT OF DEFENSE. 2016年6月21日閲覧。
  29. ^ 米国防総省のサイトに弱点138か所、バグ発見の報奨制度で判明”. AFPBB News (2016年6月18日). 2020年6月10日閲覧。
  30. ^ Vulnerability disclosure for Hack the Pentagon”. HackerOne. 2016年6月21日閲覧。

関連項目

スタブアイコン

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めていますPJ:コンピュータ/P:コンピュータ)。