泥棒に自分の家に侵入してもらうために、お金を払いますか?ほとんどの賢い人はおそらくノーと言うでしょう。しかし、賢いテクノロジー企業はますますイエスと言うようになっています。Googleのような企業は、自社のソフトウェアに侵入する方法を見つけたハッカーに多額の報酬を提供しています。
これらの企業は、たった一つのバグ発見に数千ドルもの報酬を支払うことが珍しくなく、バグハンティングでかなりの収入を得られるほどです。さらに、より広い視点で見ると、Windowsアプリケーションを侵害から守る最善の方法を発見したハッカーは、MicrosoftのBlueHat Prizeで20万ドルという高額賞金を獲得するチャンスがあります。
参加企業は、報奨金プログラムによって自社製品の安全性が向上すると述べている。「バグ報告が増えれば、バグ修正も増え、ユーザーエクスペリエンスが向上します」と、Googleの脆弱性報奨金プログラムのウェブアプリケーション部門を担当するセキュリティプログラムマネージャー、アダム・メイン氏は語る。「また、これらのバグを発見している研究者と良好な関係を築くことにもつながります。」
しかし、これらのプログラムには議論の余地がないわけではない。マイクロソフトをはじめとする一部の企業は、報奨金は悪質な人物を捕まえるためだけに使うべきであり、脆弱性の発見を促すために使うべきではないと考えている。さらに、二重取りの問題もある。ハッカーが脆弱性発見の報酬として賞金を受け取り、その後、同じ脆弱性に関する情報を悪意のある買い手に売却してしまう可能性があるのだ。
ビッグダンス
ハッカー向けのワールド シリーズ オブ ポーカーは Pwn2Own です。これは、CanSecWest セキュリティ カンファレンス中に毎年開催されるハッキング コンテストです。
「私たちの高額賞金は主要メディアの注目を集め、セキュリティ上の脆弱性に対する消費者の意識を高めています」と、Pwn2Ownの主催者であるアーロン・ポートノイ氏は語る。「これは、AppleやGoogleなどのベンダーに、自社製品のセキュリティ対策に取り組むプレッシャーを与えることになります。」
Pwn2Ownでスマートフォンやウェブブラウザのハッキングに成功した人は、1万5000ドルの賞金と、ハッキングに使用したデバイスを持ち帰ることができます。Googleは、Google製品のハッキングに成功したセキュリティ研究者にさらに2万ドルの賞金を提供することで、このコンテストをさらに盛り上げています。このコンテストは2007年の開始以来、総額16万ドル以上の賞金を授与してきました。
しかし、これはGoogleが自社製品に提供している報奨金に比べれば大した金額ではない。昨年11月に開始されて以来、Google脆弱性報奨プログラムは、Chromium(Google Chromeブラウザのオープンソース基盤)やGoogleの数多くのウェブアプリのセキュリティ脆弱性を報告したバグハンターに、約50万ドルを支払ってきた。
これは高額ですが、その代わりに、Googleは数百ものバグを潰すことができました。これらのバグは、悪意のある人物が何らかの侵入を仕掛けるまで発見されなかったかもしれません。Googleの人々は、この報奨金はセキュリティ研究者がソフトウェアの脆弱性を私利私欲のために悪用するのではなく、開発者に報告することを奨励するものであるため、価値のある出費だと考えています。
Googleはすでに1人のバウンティハンターをフルタイムのセキュリティ研究者として雇用しており、今後さらに採用が進む可能性があります。明らかに、巨額の報奨金は最も優秀なバグハンターを発掘する力を持っています。中には、バグの特定で生計を立てられるほど優秀な人材もいます。例えば、Chromium Security Hall of Fameを調べてみると、研究者のセルゲイ・グラズノフが今年、バグハンターとして約2万ドルを稼いだことがわかります。しかも、これはGoogleだけでの金額です。ベンダーやTippingPoint(最近HPに買収された)のようなセキュリティ研究グループが提供する巨額の報奨金が急増しているため、才能ある研究者がバグバウンティハンターとして十分な収入を得ることが可能になっています。
ゼロデイイニシアチブ
脆弱性購入プログラムであるZero Day Initiativeは、セキュリティ研究者によるセキュリティ上の欠陥の報告に対し、高い評価と高額の報奨金を提供することで、インターネットをより安全なものにすることを目指しています。ZDIは、バグに対して報奨金を支払うと、その脆弱性を報告したベンダーに無料で通知します。
「毎年、私たちはMicrosoftとAdobeに数百件の脆弱性を無料で報告しています」と、Pwn2Ownコンペティションの活動に加え、Zero Day Initiativeの運営も手掛けるアーロン・ポートノイ氏は指摘する。「ベンダーが6ヶ月以内にパッチを公開しない場合は、エクスプロイトの詳細を公開します。ベンダーにこれらの問題を修正するようプレッシャーをかけているのです。」
しかし、ZDIは完全に利他的な組織ではありません。バグ報告に対して高額な報奨金(最大2万5000ドル)を支払う余裕があるのは、HP(ZDIも所有)が提供するサブスクリプション型のマルウェアフィルターサービス「Digital Vaccine」を通じてバグを収益化しているからです。Digital Vaccineは、ZDIが収集したエクスプロイトからの即時保護を、料金を支払う意思のあるユーザーに提供することで、ZDIは利益を得ると同時に、セキュリティ研究者への報酬も得ています。
二重取りはどうですか?
当然の疑問は、GoogleとZDIは、脆弱性を発見して報奨金を請求するハッカーが、その脆弱性に関する情報を悪意のある人物に売却しないよう、どのように保証できるのか、ということです。答えは「できない」です。しかし、これは皆さんが考えるほど重要ではないかもしれません。
私たちが調査したすべての報奨金プログラムは、二重取りをする研究者を排除する名誉システムを維持しています。しかし、長期的には、報奨金の支払者は、バグ報奨金ハンターが既知の脆弱性を悪意のある人物に渡す可能性についてあまり心配していません。なぜなら、それらの脆弱性は次のパッチで廃止されるからです。最終的にZDIは、お気に入りの製品やサービスのバグ修正をベンダーがパッチを当てるのを待つ代わりに、ほぼ即座に受け取れる特権に料金を支払う加入者にDigital Vaccineを販売することで収益を上げています。
バグではなくハッカーをターゲットにする
バグ報奨金プログラムの理念は、要するにこうです。「泥棒を捕まえるのは難しすぎる。だから、代わりに家のセキュリティをしっかり確保しよう」。「ハッカーをターゲットにするのはますます難しくなっています」とポートノイ氏は言います。「Webは匿名です。ハッカーは簡単にエクスプロイトを共有できるので、エクスプロイトを排除する方がずっと簡単です。」
しかし、すべての企業がこの見解に賛同しているわけではない。マイクロソフトは、金銭による報奨金は悪名高いハッカーに魅力的な標的を定めるためだけに提供されるべきだと主張している。
「マイクロソフトが提供する唯一の『報奨金』プログラムは、犯罪者を裁きにかけることへの協力に対する報酬です」と、マイクロソフトのTrustworthy Computing Groupのグループマネージャー、ジェリー・ブライアント氏はPCWorldへのメールで述べています。「これらは、私たちが提供していない『バグ報奨金』プログラムとは全く異なります。」
マイクロソフトは、Rustockボットネット、Confickerウイルス、Sasserワームの犯人を含む、悪名高いハッカーの逮捕につながる情報に対し、25万ドルの懸賞金を複数回設定しています。Sasserの懸賞金は、ワームを作成したとされる10代の少年の逮捕につながりました(彼は2人の友人によって引き渡されました)。その他の懸賞金は、まだ逮捕には至っていません。
ブルーハット賞
今年のBlack Hat Security Conferenceで、Microsoftは一風変わった懸賞金制度を発表しました。これは悪意のある人物やバグをターゲットにしたものではありません。BlueHat Prizeは、Windowsアプリケーションのメモリ安全性の脆弱性を悪用する攻撃を防ぐ最も革新的なプロトタイプに20万ドルの賞金が授与されるものです。
「BlueHat Prizeを検討するにあたり、私たちは従来の『脆弱性ごとに報酬を支払う』プログラムにとどまらず、セキュリティ業界に影響を与える真に大きな問題に取り組み、あらゆる種類の攻撃を緩和できる革新的なソリューションの開発に報いることを考えました」と、Microsoftのブライアント氏は記している。言い換えれば、野心的な賞金稼ぎは、大胆に挑戦するか、諦めるかのどちらかを選ぶべきだということだ。
