2014年8月7〜10日、米国ラスベガスで開催された「DEF CON 22」で、バグハンターとして生きる方法や、最近のバウンティプログラム事情について、いくつか講演が行われた。その様子をレポートする。
「レッドチーム(攻撃)とブルーチーム(防御)、どちらを選ぶかと聞かれたら、多くの人がレッドチームを選ぶだろう。知識と腕を武器に戦う姿はかっこいいし、IT技術からソーシャルエンジニアリングまで、知的好奇心を刺激する学習の機会が多く得られる。しかも、報酬が大きい。企業雇用のペンテスターなどと同列に語られることもあるが、業務時間外や週末にわざわざ出社してテストしたり、価値ある業務であることを証明するだけのために長文のレポートを作成したり、思い付く限り、苦労と辛さしかない」。
Risk Based Securityのジェイク・クーンズ氏は、講演「Screw becoming a Pentester - When I grow up I want to be a Bug Bounty」(ペンテスターなんてクソくらえ - オレ、大きくなったらバグバウンティになるんだ)の冒頭でこう笑う。
実際、最近は脆弱性を発見、報告した場合、内容に見合った報酬を与えるバウンティプログラムが増えている。
米国初のバウンティプログラムは、1995年、Webブラウザー開発会社のNetscapeが実施した。目的はベータ版の改善と品質向上で、多くの人がテストに参加。報酬は、Netscapeのロゴ入りマグカップとTシャツだった。
その後、2002年にはiDefense(2005年に米ベリサインが買収したセキュリティ研究機関)が脆弱性貢献プログラムを実施し、2004年にはNetscapeからスピンアウトしたMozilla Foundationが、深刻なバグに対して500ドル支払う報奨金プログラムを実施。バウンティプログラムは少しずつ広まっていった。
そして2007年、CanSecWestセキュリティカンファレンスで、「Pwn2Own」と呼ばれるハッキングコンテストが開催された。内容は、会場の無線LAN環境に接続された2台のMacBook Proをハッキングし、成功した人はそのPCを持ち帰ってもよいというものだ。最終的には、Zero Day Initiative(ZDI)経由で1万ドルの報奨金が支払われた。
そんな中、2009年の同カンファレンスで「セキュリティバグを発見した場合は報奨金を支払うべき」と提案する発表が行われ、「影響は定かではないが、少なくともバグハンターの間で報奨金への期待が高まったのは事実。このあたりから賞金に期待される額は一気にはね上がった」と、現役バグハンターでRisk Based Securityのカルステン・エイラム氏は述べる。
「実際、バグハンターを職業にするなら、狙うは間違いなく報奨金だ」(エイラム氏)。
Copyright © ITmedia, Inc. All Rights Reserved.