マイクロソフトとフェイスブックが後援する新しいバグ報奨金プログラムは、多数のインターネットユーザーに影響を与える可能性のある、広く使用されているソフトウェアの脆弱性を発見し報告したセキュリティ研究者に報酬を与える。
このプログラムは、Facebook、Google、Microsoft、および長年にわたり他のセキュリティ報奨金プログラムの管理や参加に協力してきた他の数社の研究者のパネルによって運営される。
「今回の経験から、インターネットをより良い場所にするために、関係者全員に対して脆弱性開示を改善するという使命が私たちにはあります」と研究者らは、新しいバグ報奨金プログラムを主催するウェブサイトhackerone.comで述べた。このプログラムは、バグハンターと、報告された欠陥を解決できる対応チームを結びつけるものだ。
新しいプログラムでは、Python、Ruby、PHP、Perlインタープリター、Django、Ruby on Rails、Phabricator開発ツールおよびフレームワーク、ApacheおよびNginx Webサーバー、Google Chrome、Internet Explorer 10、Adobe Reader、Flash Playerのアプリケーションサンドボックスメカニズムで発見された脆弱性に対して報奨金が支払われます。
インターネットプロトコルの脆弱性など、複数のベンダー、あるいは市場シェアが支配的なベンダーのソフトウェア実装に影響を与えるセキュリティ問題の発見も報奨の対象となります。プログラム主催者によると、このカテゴリーに該当する過去の脆弱性の例としては、偽造CA証明書の生成に使用されたMD5ハッシュ関数に対する2008年の衝突攻撃、SSLに対するBEAST攻撃、そしてセキュリティ研究者のダン・カミンスキー氏が2008年に報告したDNSキャッシュポイズニングの脆弱性などが挙げられます。
報奨金の額は、報告された問題の深刻度と影響を受けるソフトウェアによって異なります。例えば、Phabricatorの脆弱性を発見した場合の報奨金は300ドルから始まり、最大3,000ドルとなります。一方、アプリケーションサンドボックスやインターネットプロトコルの脆弱性を発見した場合の報奨金は5,000ドルから始まり、審査委員会の裁量により大幅に増額される可能性があります。一部のソフトウェアプロジェクトでは、脆弱性報告と共にパッチを提出すると報奨金が2倍になります。
この新しいプログラムは、セキュリティ研究者だけでなく、プログラムの情報開示理念とガイドラインを遵守する限り、セキュリティ問題を発見したすべての人を対象としています。これには、学術研究者、ソフトウェアエンジニア、システム管理者、そして一般の技術者も含まれます。
報奨金は現在 Microsoft と Facebook が後援していますが、HackerOne パネルは、報告された問題に対処する対応チームに、余裕があればセキュリティ研究に金銭的な支援を行うことを奨励しています。
先月、GoogleはOpenSSL、OpenSSH、BIND、libjpeg、libpngなど、広く利用されているオープンソースアプリケーションやソフトウェアライブラリのセキュリティ修正やコード強化パッチへの資金提供を行う同様の取り組みを発表しました。これは、Google Chromeセキュリティチームのセキュリティエンジニアであるクリス・エヴァンス氏がHackerOneのパネルディスカッションに参加しているにもかかわらず、GoogleがHackerOneの報奨金プログラムに資金を提供していない理由を説明するかもしれません。
マイクロソフトがこのプログラムを後援したことは、同社が長年反対してきた、個々の脆弱性に対する賠償金支払いに対する姿勢を軟化させたことを示しているのかもしれない。
マイクロソフトは6月に自社製品を対象とした2つの報奨金プログラムを開始しましたが、これらは個々のセキュリティ上の欠陥の発見ではなく、既存の防御策を回避する新たな防御手法や悪用手法の研究を奨励することを目的としています。月曜日には、これらのプログラムの1つを拡張し、セキュリティ専門家が実際の攻撃で発見した新たな攻撃手法の報告にも報奨金を支給するようになりました。
マイクロソフトは6月にも、Internet Explorer 11のプレビュー版で見つかった脆弱性に対する報奨金として、より従来的なバグ報奨金プログラムを実施したが、このプログラムはわずか30日間しか続かなかった。
