特集30年前、Netscapeは最初の商用バグ報奨金プログラムを開始しました。それ以来、大小さまざまな企業がこのアイデアに賛同し、その結果は様々です。
バグバウンティは一見シンプルです。欠陥発見者が脆弱性を発見し、責任を持って開示し、その労力に対して報酬を受け取るというものです。しかし、過去数十年の間に、様々な支払い方法やプラットフォームを用いて、商業システムや政府システム向けに様々な形態に変化してきました。中には、他の方法よりもはるかに効果的な方法もあります。
商用バグ報奨金制度は当初ゆっくりと広がり、研究者にとって当初は危険を伴うものでした。自社のソフトウェアに問題を発見した外部の研究者を訴えた企業もありました。
2005年、インターネットセキュリティシステム(ISS)の研究者マイケル・リン氏とラスベガスで開催されたセキュリティカンファレンス「Black Hat」の主催者は、シスコのIOSルーターソフトウェアの重大な欠陥に関するリン氏の講演をめぐり、接近禁止命令を受けました。リン氏はISSを辞任したものの、結局講演を行いました。一方、シスコの担当者は、講演内容を記したカンファレンスのハンドブックから8時間かけてページを物理的に切り取りました。
しかし同年、ティッピング・ポイントはゼロデイ・イニシアチブを開始し、概念実証(PoC)を伴う影響の大きい脆弱性に対して報酬を支払いました。この取り組みは、2010年にGoogle、1年後にFacebook、そして2013年にMicrosoftといった大手テクノロジー企業がこの取り組みを採用したことで、急速に発展しました。
独自の報奨金プログラムを運営することを選択した企業もあれば、2012 年に開始された HackerOne や Bugcrowd などのプラットフォームにアウトソーシングした企業もありました。ただし、どちらを選択するかは、組織の規模と重点分野によって大きく異なります。
社内で整理しますか、それともアウトソーシングしますか?
大規模なユーザーベースを持つ最大規模の組織の場合、最適な選択肢は主に独自のスキームを実行することです。
3年間の闘い(彼女はその過程を「カエルを茹でるようなもの」と表現した)の末、マイクロソフトにバグ報奨金制度の導入を説得したケイティ・ムスーリス氏は、国防総省初のハッキングコンテストを運営し、HackerOneの最高政策責任者を務めた。現在は、バグ報奨金コンサルティング会社Luta SecurityのCEOを務めている。
「Apple、Google、Microsoftのような企業では、バグの機密性が非常に高いため、(サードパーティの)プラットフォームにバグのトリアージを任せたくありません」と彼女は語った。「そもそも、サードパーティのプラットフォームにバグを保管させておくのも望ましくありません。サードパーティのプラットフォームに脆弱性があれば、バグが露呈してしまうからです。」
大規模な組織には他にも多くの利点があると彼女は説明した。ほとんどのバグ報奨金プログラムでは、実際には深刻ではない誤検知や軽微な欠陥が大量に報告されるが、大規模組織、あるいはセキュリティに注力している組織には、重要なものとそうでないものを選別できるITスタッフがいる。
さらに、バグ報奨金プログラムの不可欠な要素である秘密保持契約(NDA)を扱う法務部門も備えています。マイクロソフトとは当初、「Project Tango」(二人で協力するという意味)というパイロットプロジェクトを立ち上げ、個々の研究者がNDAに基づきレドモンドで作業し、マイクロソフトが調査結果を確認して修正プログラムを提供するまでは発見事項を公開しないというものでした。
社内のバグ報奨金プログラムは、優れた採用パイプラインを作成することもできます。
「以前、バラクーダネットワークスでテストを担当していました」と、ソフォス・アドバイザリー・サービスのレッドチームリーダー、エリック・エスコバー氏は語る。「品質に関して言えば、90%はゴミみたいなものでしたが、得られた10%は金のように素晴らしいものでした。信じられないくらいです。」
彼は続けた。「バグ報奨金プログラムに参加していた数名を採用したのは、彼らが非常に優れたバグを定期的に発見していたからです。コスト分析を行った結果、この人物が毎月これほど多くのバグをコンスタントに発見しているのであれば、採用しなければ損失が出ると判断しました。彼らは、バグ発見だけで稼げる優秀なアプリケーションセキュリティエンジニアの給与をはるかに上回る収入を得ているのです。」
- Curlの開発者、AIのずさんさを阻止するためバグ報奨金制度の廃止を検討
- Curlプロジェクトの創設者、時間を浪費するAIの雑多なバグ報告の洪水に激怒
- サイバー犯罪の温床であるロシア、倫理的ハッキング法案に反対
- マイクロソフトはビデオなしではバグレポートを見ようとしなかった。研究者は悪意を持ってそれに従った。
しかし、予算のない小規模なソフトウェア企業にとって、専任のバグ発見者を雇うことは実際には選択肢ではありません。
「研究に完全に集中しているセキュリティ担当者がいるというのは非常に稀で、彼らには他の仕事を任せたいのです」とムスーリス氏は述べた。「こうした人材はプログラマーではないかもしれませんし、開発者に将来的にバグを防ぐ方法を指示できないかもしれません。ただ、バグを見つけるのが本当に得意なだけかもしれません。」
文化的な問題もあると彼女は言います。なぜなら、この分野の誰もが、延々と続く会議やチームセッションのある企業環境で働きたいわけではないからです。セキュリティホールを見つけるのは好きですが、独立性を大切にしている人もたくさんいます。
企業は、特定の業務ごとに熟練したペンテスターを契約ベースで雇用するケースが増えています。これにより、秘密保持契約(NDA)の問題も解消されます。契約に秘密保持義務が含まれるため、研究者はフルタイムの仕事に就くことなく報酬を得ることができ、経営陣も新規スタッフの採用に伴う金銭的負担を負う必要がないため、通常は満足しています。
もう一つの選択肢は、HackerOneやBugcrowdのような商用プラットフォームを利用することです。小規模な企業やセキュリティにあまり重点を置いていない企業にとって、これらのプラットフォームはバグの発見、スクリーニング、そして発見者への報酬の支払いを最小限の手間で実現できる手段になるとムスリス氏は述べています。
HackerOne の CEO である Kara Sprague 氏は、プラットフォーム アプローチの大きな強みの 1 つは、幅広い才能があることだと説明しています。
「攻撃的なセキュリティがコアコンピテンシーではない企業にとって、実績のあるプロバイダーに依頼するのは悪い考えではありません」と彼女は語った。「世界中の独立した研究者コミュニティは、素晴らしい人材の源です」と彼女は言い、自発的にバグを発見する人の方が、社内のレッドチームやペンテスターよりも効果的であることが多いと説明した。
実際には、多くの企業がハイブリッドなアプローチを採用し、社内で独自のバグ報奨金プログラムを実行しつつ、プラットフォームも利用しています。
ムスーリス氏はまた、一部の企業が間違った理由、特に広報活動のためにバグ報奨金プログラムに飛びついていると警告した。先月、Paradox.aiが管理者パスワードとして「123456」を使用していたことが発覚した際、攻撃者はマクドナルドの求職者約6400万人の個人情報にアクセスできた。同社は謝罪し、バグ報奨金プログラムを立ち上げることを約束した。
「彼らはただ外見をきれいにしたいだけなのに、私はこれをバグバウンティボトックスと呼んでいます」とムスーリス氏は冗談を言った。
ハンターのモチベーション:富、名声、そして物事の解決
欠陥発見者はただ金銭目的であるというのがよくある誤解ですが、実際はもっと複雑です。
確かに、金銭的な要素はあります。過去10年間で、バグ発見で獲得できる賞金は爆発的に増加しました。ZDIが開催予定のPwn2Ownコンテストでは、幸運なハッカーはWhatsAppへのゼロクリックリモートコード実行攻撃で100万ドルを獲得できる可能性があります。マイクロソフトは当初は難色を示していましたが、今ではこの懸賞金制度を強く支持しており、昨年は独立系セキュリティ研究者に1,700万ドルを支払ったと、Microsoft Security Response Center(MSRC)の責任者であるトム・ギャラガー氏はThe Register紙に語っています。
脆弱性ハンターの中には、こうしたプラットフォームで億万長者になった者もいるし、政府公認のスパイウェアに悪用したりプレミアム検出サービスを販売したりするために価値の高い欠陥を収集するサードパーティ企業に脆弱性ハンターを販売して大金を稼いだ者もいる。
大金を稼ぐための戦略はあなたが考えているものとは違う、とムスリス氏は述べた。
HackerOneで初めて総額100万ドルを稼いだハッカーは、『重大なバグが山ほど見つかったのか?』と聞かれた。彼はこう答えた。『いや、重大なバグは全く探さない。難しすぎるし、時間がかかりすぎる。自動化によって、低・中程度の重大度のバグをより効率的に見つけるんだ』。中程度の重大度は報酬が高いので、まさにうってつけだ。」
しかし、これはロングテールの状況であり、ほとんどの人は大金を稼いでおらず、バグハンターの大多数はそれを主な収入源として使っていないとエスコバー氏は説明した。
マイクロソフトのギャラガー氏は、バグハンターを引き付けるもう一つの非常に効果的な方法として、知名度を挙げた。MSRCは最も有能なバグ発見者を集めたリーグを維持しており、たとえそれがThe Register紙のTシャツのモデルを務めただけのものであっても、熾烈な競争が繰り広げられている。
MSRCの責任者がハッカーへの愛情を示す
企業はまた、社内エンジニアや、自社のコードを調査する優秀な人材を引きつけるために設計された専用フォーラムへのアクセスを提供して、トップクラスの脆弱性研究者を誘致しようとしています。
「私たちが報奨金プログラムを通じてやろうとしていることの一つは、研究者と関係を築くことです」と彼は語った。
「私たちは、この仕事を中心にコミュニティを築こうとしています。最も有能な研究者を招き、一緒に仕事をするプログラムがあります。フルタイムで働くことに興味がある人もいれば、フルタイムの仕事を持っている人もいます。セキュリティ関連の仕事ではない場合もあるので、本当に個人次第です。」
もう一つの、見落とされがちな動機は、問題を解決したいという欲求です。一部のセキュリティ研究者は今でもバグレポートを提出していますが、それは特に金銭目的ではなく、アプリケーションやプロセスの安全性を確認するためです。
「報酬よりもバグが修正されることを重視する研究者もいます。それは今でも変わりません」とムスリス氏は述べた。「『いや、このバグを修正してほしいだけ』という研究者もいます。それが彼らのモチベーションなのです」
しかし、こうしたユニコーン企業は非常にまれであり、解決策の主な情報源としてこうした見知らぬ人々の善意に頼る企業は愚かだと彼女は指摘した。
AIがだらしなく転げ落ちる?
テクノロジー業界の多くの仕事と同様に、これまでは人間が担っていたタスクを機械学習や AI が担うようになるという懸念があります。
今のところ、AIは良い面と悪い面が入り混じっている。確かに、より多くの欠陥をより速く発見できるようになったが、一方で、機械が生成した欠陥とその報告によってバグ分析が溢れかえっている。
業界のベテランである Mikko Hyppönen 氏が今年の Black Hat セキュリティ パーティーで指摘したように、レポートの量は大幅に増加しており、その多くはプロンプト スキルを持つスクリプト キディによって書かれています。
「彼らはこれをAIの無駄遣いと呼んでいます」とムスーリス氏はコメントした。「特にオープンソースの世界では、トリアージサービスに費用をかけられないメンテナーにとって、これは大きな負担となります。長期的には、エコシステムに関わる私たち全員にとって悪影響となるでしょう。」
- マイクロソフト、Copilotのバグ報奨金対象を拡大、中程度の不具合でも賞金を支給
- サムスン、Knox Vaultサブシステムの脆弱性発見に対するバグ報奨金を100万ドルに増額
- マイクロソフトはAzureの欠陥に対し、テナブルにバグ報奨金を支払った。同社は修正は必要なく、ドキュメントの改善だけで済むとしている。
- Googleの技術に穴を開けてバグハンターに1000万ドルの報酬
報奨金プラットフォームはこのトレンドの最前線に立っており、HackerOneのSprague氏によると、最近寄せられる報告の3分の2は「最終的に有効な脆弱性である」とのことです。スパムをフィルタリングするため、同プラットフォームはAIモデレーションを導入し、報告を精査して有効なエクスプロイトかどうかを判断します。
しかし、ソフトウェアのミスを探す人々も準備を進めており、コードのスキャンに伴う手間を大幅に省く自動スキャンキットに投資している、と彼女は述べた。
「私が会うバグハンターの多くは、ハンティングを容易にするために、すでにある程度の自動化を導入しています」と彼女は述べた。「独自のハッキングボットを開発したり、商用開発のボットに貢献している研究者もいます。つまり、研究者コミュニティは、能力拡大のためにこうした自動化への投資を増やしているのです。」
AIは人間のハッカーを凌駕するのでしょうか?このハッカーはそれを疑っています。法学修士(LLM)は過去の情報に基づいて作業するため、深刻な問題を見抜くために必要な直感的な飛躍は、今のところAIには不可能のようです。®
