ちっともかわいくなかった、セキュリティ界の「POODLE」：セキュリティクラスター まとめのまとめ 2014年10月版（3/3 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

バグハンターってどうなのよ？

　2013年からmixiで脆弱性を発見した人に対して報奨金が出たり、（すでに終了してますが）サイボウズが脆弱性報奨金制度を始めたりと、脆弱性報告やバグハンティングが国内でも少しずつ認知されつつあるようです。

　そんな中、2014年10月30日の読売新聞に「求むバグ・ハンター　プログラム欠陥発見人」という記事が掲載されます。それをきっかけにセキュリティホールを発見して報告することや、それを報告する人についてのツイートが多く上がりました。バグ報告と犯罪との切り分けが難しかったり、バグを公表することが会社の悪評につながるなど、バグ・ハンターとして生きるのは簡単ではないようです。

　仕事として脆弱性検査を行っている人による、バグハンターと脆弱性検査の違いについてのツイートもありました。検査は期限があるので全て完璧に検査できるとは限らないようですね。

　これに関連し、バグ報告の報奨金制度の先駆けとして、2001年から現在のMozillaの前身であるNetscapeが報奨金制度をスタートしたのですが、その最初期にバグ報告を行って1000ドルの報奨金をもらった話を@TakagiHiromitsuさんがツイートしていました。懐かしく思った人も多かったのではないでしょうか。

---

　この他にも、2014年10月のセキュリティクラスターはこのような話題で盛り上がっていました。11月はどのようなことが起きるのでしょうね。

• Shellshockショック引き続き尾を引く
• Dropbox、大量のユーザー名とパスワードが流出する
• OpenSSLにまた大きな脆弱性！？ 実はガセでした
• wgetにも脆弱性。任意のローカルファイルが操作される
• 「運用でカバー」ってどうなの？
• phpカンファレンスで徳丸さんと大垣さんの対談セッション大盛り上がり
• HTML5がついにW3Cの勧告として公開される

「セキュリティクラスター まとめのまとめ」バックナンバー

• 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
• 「4万人のボランティアが守る東京オリンピック」？――セキュリティクラスターの反応は
• サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
• 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
• 技術ある17歳が牙をむく――私たちに何ができたのか
• 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない？
• 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
• 名前はなくても危険、IISの脆弱性が注目を集める
• 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
• SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
• 「GHOST」の正体見たり枯れ尾花？ 名前には踊らされなかったセキュリティクラスター
• CODE BLUEにSECCONに、リアルが忙しかった12月
• まるでCTFみたい？ 鮮やかに暴かれた「自称小学4年生」のサイト
• ちっともかわいくなかった、セキュリティ界の「POODLE」
• ShellShockに管理者はショック！ パスワード定期変更の議論どころではない？
• 「www.atmarkit.co.jp.3s3s.org」は安全？ 危険？
• ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
• LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
• 急転直下の結末を迎えた遠隔操作ウイルス事件
• HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
• 遠隔操作ウイルス事件でフォレンジックを考えた
• 終わらないパスワード議論と、広告に求められる誠実さと
• 安全なオンラインアップデートってどうすべきだろう？

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。