Bsides SFわずか10年前までは、脆弱性を販売するというアイデア自体が非常に物議を醸していました。今日では市場は成熟していますが、ますます複雑化しています。研究者は、多額の利益を得るか、倫理的に利益を少なくするか、あるいは完全にブラック企業になるか、という選択肢を迫られています。
2015年にイタリアの政府向け監視ソフトウェアベンダーである Hacking Team が乗っ取られたことで、バグ報奨金市場の経済状況が前例のないほど明らかになった。トレンドマイクロの Zero Day Initiative (ZDI) バグ購入者の責任者である Brian Gorenc 氏は、サンフランシスコで開催された BSidesSF テクノロジーカンファレンスで、バグを売る最良の方法を説明した。
バグを売りたいハッカーは、ホワイト、グレー、ブラックの3つのブランドから選ぶことができます。ZDIのようなホワイトハットの買い手は、他のブランドよりも少額の金額を支払うことになりますが、完全に合法であり、セキュリティホールが修正されることは確実です。トレンドマイクロはZDIプログラムに資金提供しており、そのデータを使って自社のセキュリティシステムを強化できるだけでなく、メーカーにも常に欠陥を報告しています。
バグバウンティハンターは巨額の賞金を獲得しており、ブームはまだ始まったばかりだ
続きを読む
さらに、グレーマーケットがあります。これは、ハッカーが特定の買い手にバグを販売する市場です。買い手は、支払いを行うクライアント以外にはバグを公開しません。こうした買い手には、民間企業、脆弱性ブローカー、政府などが挙げられます。
「政府への販売は非常に儲かる可能性がある」とゴレンク氏は述べた。「数十万ドル相当のミサイルを発射するなら、優れたエクスプロイトに10万ドル払うのは大した金額ではない。しかし、それがどのように使われるかは分からないのだ。」
支払額も変動する可能性があります。ホワイトハットバイヤーは政府と同様に前払いしますが、脆弱性ブローカーは二重取りを防ぐために段階的な支払い方式を採用しています。通常、前払いで50%を支払い、ゼロデイ脆弱性が発見されなかった場合は30日以内に25%を支払い、さらに30日後に残りの25%を支払います。
脆弱性ブローカーにはもう一つの有用な役割があります。それは、研究者の身元を秘密に保つためのファイアウォールとして機能することです。しかし、ここでも、エクスプロイトがどのように利用され、どのように公開されるかは分かりません。
2015年にイタリアのグレーマーケターであるHacking Teamが摘発されたことは、この市場の経済状況に関する優れた洞察をもたらしました。チェコ共和国、バングラデシュ、湾岸諸国といった国々は、Hacking Teamの脆弱性データベースへのアクセスに対して、年間数万ドル(チェコのケースでは8万ユーロ以上)を支払っていました。
ハッキングチームのデータ漏洩は、イタリア企業のファイルに名前が記載されていただけでなく、ZDIチームにとっても非常に馴染み深い人物であるVitali ToropovというハッカーにもZDIの注目を集めました。
「彼は素晴らしいエクスプロイト開発者です」とゴロンク氏は語った。「長年ZDIにバグを提出し続けており、非常に優秀です。提出されたバグはすべて買い取りました。ヒット率も非常に高いです。」
つまり、研究者はバグを公開して迅速かつ正当な報酬を得る一方で、グレーマーケットで利益を得るという、いわば二重の利益を得られる可能性があるということです。しかし、ブラックマーケット、つまりオンラインの悪徳業者に直接販売する行為も存在します。ゴロンク氏は、このような販売を容認しないことを明確にしました。
しかし、研究者にとって全体的に見て状況は非常に良好です。セキュリティ研究を収益化する手段は複数あり、業界は誰も気づかなかったような場所に欠陥を見つけるハッカー集団から恩恵を受けています。
しかし、この市場は現在、立法府の攻撃にさらされています。米国ジョージア州では、既に可決されたエクストリームハッキング法によって、研究者が職務を遂行しただけで犯罪者扱いされる可能性があります。国際的には、新たなワッセナー・アレンジメントをめぐる混乱が続いており、多くの人が自分たちが法的に正しいのか疑問を抱いています。®
