「職業:バグハンター」にオレはなる? DEF CON 22レポート:その覚悟はあるか(2/3 ページ)
2014年8月7〜10日、米国ラスベガスで開催された「DEF CON 22」で、バグハンターとして生きる方法や、最近のバウンティプログラム事情について、いくつか講演が行われた。その様子をレポートする。
こんなにある米国のバウンティプログラム
バウンティプログラムといえば、日本では2013年にサイボウズが実施した、同社クラウドサービスに対する脆弱性発見コンテスト「cybozu.com Security Challenge」が記憶に新しい。
米国では、「実際の攻撃シナリオを検証でき、セキュリティへの取り組みの姿勢をアピールできる」とし、導入する企業が増えていると、バウンティプログラムサービスの運営経験があるセキュリティアーキテクトのニル・ヴァルトマン氏は述べる。
では、米国にはどのようなプログラムがあるのだろうか。バウンティプログラムは、ざっくり分けると2種類ある。1つは、企業が主催するプログラム。もう1つは、それ以外が開催するプログラムだ。
細かく見ると、次のように分けられる。
- 企業主催
- その他
- 第三者機関
- クラウドサービス
- ブローカー
「企業主催」は、FacebookやGoogle、Yahoo!、Microsoftなどが挙げられる。現在、300近くのプログラムが実施され、うち260は何らかの報酬があり、75については報奨金が出ている。
Googleは、2010年に報奨金プログラムを開始した。2013年8月時点で2000以上の有効な報告を受け、総額200万ドル以上の報奨金を支払っている。
もちろん、甘い話ばかりではない。Facebookは、2013年に前年比246%増の1万4763件のバグ報告を受け、有効なバグに対する報奨金の最低額は500ドル、最高額は3万3000ドル強だった。しかし、報奨金が出た件数は、687件の4.65%のみ。「なかなか興味深い数字だ」(クーンズ氏)
「その他」では、第三者機関が主催するプログラムだ。有名どころでは、ZDIが挙げられる。2013年、日本で開催された情報セキュリティカンファレンス「PacSec」で、モバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」が行われたが、これを取り仕切ったのがZDIだ。
関連リンク
スマホを攻撃→賞金ゲット、脆弱性発見コンテスト「Mobile Pwn2Own」日本初開催
http://www.atmarkit.co.jp/ait/articles/1311/14/news053.html
2005年8月に設立した同研究機関は、バグハンターやリサーチャーから報告を受けた脆弱性を検証、ベンダーに「責任ある公開」をもって公表している。現在は、約100カ国3000人以上が登録しており、2014年7月18日時点で1715件が報告され、3〜6桁の報奨金が支払われている。
「第三者機関主催のプログラムで報告するときは、どのソフトウェアの脆弱性かを明確にして、バージョン含む詳細をきちんと伝えることが重要だ。そうすれば検証作業もスムーズに進み、報奨金を早く手に入れられる可能性が高い」(エイラム氏)
もう1つ、クラウド型のバウンティプログラムもある。これは、企業に代わってバウンティプログラムを代行するサービスだ。bugcrowd、HackerOne、CrowdCurity、Synackなど、かなりの数がある。
2012年9月に設立したbugcrowdは、Webやモバイル、クライアントサイド、組み込み系アプリに関するバウンティプログラムを扱っており、公開プログラムのほかに非公開プログラムも実施している。57の企業が参加、1万人以上が登録し、平均報酬額は241ドル、最高額は1万3500ドルだ。
「クラウド型は、登録者が膨大なので、とにかくスピードが命。詳細レポートを用意している間に、他の人に同じ脆弱性を発見されて報奨金を持っていかれる。次回の開催予告があったら、すぐに検証体制を整えるのがポイント。出遅れたらアウトだ」(エイラム氏)
そして最後は、ブローカーだ。彼らはバグハンターのために素敵な額の報奨金を出してくれるところを探してくれる。Securiteamでは、過去に100件扱っており、平均報酬額は5000〜10万ドル、最高100万ドルが出ているそうだ。「まゆつばものだが、先方はそう主張している」(クーンズ氏)
Copyright © ITmedia, Inc. All Rights Reserved.