MENU

バグを見つけて賞金稼ぎ

column

2020年07月22日

合同会社エムアイティエス代表 水谷哲也

マイクロソフト創業者といえばビル・ゲイツが有名ですが共同で事業を立ち上げたのがポール・アレンです。ポール・アレンはマイクロソフトを発展させ、大資産家となります。マイクロソフトを辞めた後、資産をもとに多彩な活動をしていましたが、その一つが戦没した戦艦の深海調査。戦艦「武蔵」発見は日本でも大きく報道されました。

賞金稼ぎ(バウンティハンター)という職業

まさしくトレジャーハンターですがお宝ではなく賞金を狙うとバウンティハンター、いわゆる賞金稼ぎとなります。アメリカでは賞金稼ぎが職業として成り立っています。アメリカでは保釈金が高額なため被疑者の保釈金を立て替える保釈金保証業者が存在します。保釈金保証業者は被疑者から手数料をとることで経営が成り立っており、被疑者が指定された期日に裁判所に出頭し、裁判を受けると保釈金が返還される仕組みになっています。ところが被疑者が逃亡し裁判を受けなかった場合には、保釈金は返還されず業者は大損となります。

そこで登場するのが賞金稼ぎです。逃亡者を捕まえ、没収された保釈金を取り立てるべく保釈金保証業者に引き渡すのが賞金稼ぎの業務です。映画スター・ウォーズではボバ・フェットなどの賞金稼ぎが登場していました。

脆弱性報奨金制度がある

この賞金稼ぎですがセキュリティの世界でもあり、それが脆弱性報奨金制度です。プログラムは何百万もの命令から構成されています。人が作りますので必然的にミスがあり、これがバグになります。不具合が出た場合は事象として顕在化するのでバグを修正できますが、やっかいなのが脆弱性です。脆弱性がひそんでいてもプログラムはちゃんと動いていますので、なかなか分かりません。

そこで生まれたのが脆弱性報奨金制度(バグバウンティプログラム)です。ホワイトハッカーにプログラムの脆弱性を見つけてもらい報奨金を支払う制度です。ホワイトハッカーとはセキュリティ技術に精通したエンジニアのことで、もともとハッカーという言葉で使われていました。ところがハッカーという言葉にサイバー攻撃の攻撃者イメージがあるためホワイトハッカーという言い方をしています。攻撃者は「ブラックハッカー」、「クラッカー」と呼んで区別しています。

脆弱性報奨金制度の初期の頃は牧歌的な時代で、ネットスケープ社では脆弱性の報告があるとロゴ入りマグカップとTシャツのノベルティを贈呈していました。これがどんどん高額化していきます。もちろん脆弱性の深刻度が高いほど報奨金の金額も大きくなります。

脆弱性発見で一攫千金

グーグルでは1件のバグに対して5百ドル~1万5千ドルの報奨金を支払っています。2019年には総額で650万ドル(約7億円)を支払い、最高額は20万ドル(約2200万円)でした。マイクロソフトのWindws10では重点分野に関しては5千ドル~25万ドルで募集しています。日本の企業も取り入れておりサイボウズでは上限100万円で脆弱性情報を募集しています。「三人寄れば文殊の知恵」ではありませんが、たくさんの人に脆弱性を見つけてもらっています。自前で脆弱性をチェックしようと思うと企業で人材を雇い育成しなければなりませんので、多額な費用がかかるため結果的に安上がりな面もあります。

高額で脆弱性情報を買い取りしてくれるのであれば、裏のネット社会で販売するインセンティブがなくなり、それだけ攻撃を減らす効果もあります。

多くの企業ではサーバーにIPS(不正侵入防止システム)を導入しています。脆弱性情報を買い取る企業のなかにはIPSメーカーもいます。他に知られていない脆弱性情報が分かり、最初に対応できれば競合他社の商品に対して差別化できます。一般への脆弱性周知が遅れる面もあり、賞金稼ぎの世界はやはりシビアです。

  • 掲載しているブランド名やロゴは各社が所有する商標または登録商標です。
  • この情報の著作権は、執筆者にあります。
  • この情報の全部又は一部の引用・転載・転送はご遠慮ください。

関連コラム

枯れた技術を使う