ソニーのゼロデイ脆弱性をこれ以上探し出して報告する気にはなれない。得られるのはただのひどいTシャツだけだからだ。

Table of Contents

ソニーのゼロデイ脆弱性をこれ以上探し出して報告する気にはなれない。得られるのはただのひどいTシャツだけだからだ。

分析ソフトウェア内の悪用可能なセキュリティバグを探すことは、生計を立てるための容易な方法ではない。脆弱性研究者は、レポートに対して報酬を支払わないベンダーは、自社製品を危険にさらしながら、生活をさらに困難にしていると述べている。

ブラジルの研究者、ジョアン・フィゲイレド氏もその一人です。彼はソニーとソニー・ピクチャーズが運営する2つのウェブサイトにリモートコード実行の脆弱性を発見し、報告しました。これらの脆弱性は重大なリスクと評価され、ソニーがバグ報奨金プログラムの運営を委託しているHackerOneのハックティビティページでフィゲイレド氏に認められました。

しかし、もしソニーがフィゲイレド氏にもっと良いインセンティブを提示していれば、この件はもっと大きな暴露となり、エンターテインメント界の巨人であるソニーのシステムにおけるセキュリティホールがさらに多く報告される可能性もあっただろう。しかし、Tシャツ1枚しか獲得できなかったため、フィゲイレド氏は2枚に留めることにした。

「私が報告した2件のケースに加え、他にも重大な脆弱性が潜在している」とフィゲイレド氏はThe Register紙に語った。「しかし、ソニーは研究者の努力に報いるために、ただのシャツを配るだけだ。だから、私はソニーのシステムの分析にこれ以上時間を費やさないことにしたのだ。」

フィゲイレド氏は、これは欲の問題ではなく(彼は米国国防総省に複数の報告書を無料で提供している)、むしろやりくりしなければならない状況だと述べている。セキュリティ上の脆弱性の発見には長い時間がかかり、PayPalのような企業は現金報酬を提供しているため、より多くの注目を集め、監査を受けているとフィゲイレド氏は説明した。

「大企業はセキュリティを重視しているとよく言いますが、現実は違います」とフィゲイレド氏は述べた。「消費者の安全を気にかけていると主張する企業の多くは、実際にはそうではありません。」

スワッグは食料品の代金を支払わない

フィゲイレド氏のような考えを持つのは、彼だけではありません。BugCrowdの創設者兼CTOであるケイシー・エリス氏は、El Reg誌に対し、ハッカーにはそれぞれ仕事に対する理由や動機があるものの、最終的には支払いをしなければならないと語った。

「自慢の品はクールだし、一緒に仕事をしたハッカーのほとんどが気に入っている。しかし、ウォルグリーンでは通用しない」とエリス氏は述べた。「企業は自慢の品や評判を現金と混同しないことが重要だ」

多くの場合、バグハンターにとって資金は貴重です。注目を集める脆弱性を発見した研究者には6桁の報酬や称賛が贈られるとよく​​言われますが、現実には、注目度の低いシステムを発見し、概念実証用のエクスプロイトスクリプトを開発するのは、退屈で時間のかかる作業であり、金銭的な報酬はほとんど得られません。

「バグ報奨金制度で多額の金を稼ぐのはかなり珍しいことです」と、レドモンドのバグ報奨金制度を立ち上げ、現在は自身の会社Luta Securityを経営する元マイクロソフトのセキュリティストラテジスト、ケイティ・ムスーリス氏は語った。「燃え尽き症候群やフラストレーションが溜まるんです」

巨額の富を得る人がほとんどいない現状では、報奨金の支払いによって特定の企業が研究者にとってより魅力的になるであろうことは容易に理解できる。

では、現金がない=バグ報告がない?そんなことはない

このような状況を考えると、現金を提供する組織はセキュリティを重視し、支払いを拒否する組織は製品のロックダウンにまったく関心がないと結論付けるのは簡単です。

網でお金を捕まえようとする

マイクロソフトのブルービズバグ報奨金キャンペーンが到来

続きを読む

しかし現実はそれほど単純ではありません。

ムスーリス氏は、景品だけを配る企業を非難することに対して警鐘を鳴らしています。金銭は重要な要素ではあるものの、それだけで企業のセキュリティプログラムの質やバグハンターとの連携能力が決まるわけではないと指摘しています。企業やチームによっては、景品や名声はより大きな報酬を提供するための第一歩となるかもしれません。また、企業がプロのセキュリティ監査チームを雇用し、その努力を補うために、あるいは少なくとも情報セキュリティコミュニティの人材を引き付けるためにバグ報奨金制度を設けている可能性もあるでしょう。

「感謝だけを提供する会社もあれば、現金を提供する会社もあるという事実は、その会社が『セキュリティに優れている』かどうかを判断する要素にはなりません」とムスーリス氏はエル・レグ紙に語った。「グーグルが現金提供を始めたのは2010年で、当時は1,337ドルでした。」

研究者たちは、これが問題の真の核心だと同意しているようだ。バグハンターは、自分たちの仕事が尊重され、評価されていると感じたいのだ。脆弱性研究者に報酬を支払い、生活賃金を支払うことは、そのための一つであり、おそらく最良の方法だが、唯一の方法ではない。

「報奨金制度は、適切に運用されれば、バグについて最も知りたい情報に目を向けさせるのに効果的だ」とムスーリス氏は語った。

研究者が無料でやりたくないのは構いません。その場合は、試せるバグ報奨金プログラムが数多くあります。しかし、組織や政府がバグ報奨金を支払わないのも構いません。特に、インセンティブの構造について十分な検討をしていない場合はなおさらです。

ソニーの広報担当者はコメントを控えた。®

Discover More