分析Uberが、乗客とドライバー5,700万人の記録を保管するAWSデータストアがハッキングされた事実を隠蔽しようとした時のことを覚えていますか?ハッカーを黙らせるために10万ドルを支払い、その費用をバグ報奨金として偽装した時のことを。
誰が忘れられるだろうか?米国議員たちは、火曜日にワシントンD.C.で公聴会を開き、この痛ましい事件から何か教訓が得られたか、そして将来のコンピューターセキュリティの失敗を防ぐのにどのような法律が役立つかを検討したが、もちろん衝撃は受けなかった。
議会が、エキファックスが1億4,300万人のアメリカ人と世界中の何百万人もの人々の機密データを失くしたことをほとんど忘れていることを考えると、政治家は実際には気にしていないと考えるのも無理はないかもしれない。
まあ、上院の消費者保護、製品の安全性、保険、データセキュリティに関する小委員会は今週、ハッキングなどの問題について専門家を証言に招き、Uberの幹部に反省の意を表するなど、少なくとも手続きは踏んだ。
提案されているデータセキュリティおよび侵害通知法案は、個人のファイルを不注意に扱う企業を取り締まるのに効果的かもしれないと示唆された。
昨年11月に提出されたこの法案は、「公衆から故意に違反を隠蔽する企業役員に刑事罰を課す」ものだと、法案の共同提案者であり公聴会参加者でもあるビル・ネルソン上院議員(民主党、フロリダ州)は述べている。
この法案が成立した場合、データ漏洩詐欺の罪で何人の幹部が刑務所に行くことになるかを知るには、2007~2008年の金融危機の責任を負った銀行幹部が何人刑務所に入ったかを考えてみよう。
「データセキュリティとバグ報奨金プログラム:ウーバーの情報漏洩とセキュリティ研究者から学んだ教訓」と題された公聴会で用意された発言の中で、小委員会の委員長であるジェリー・モラン上院議員(共和党、カンザス州選出)は、ウーバーが2016年の情報漏洩についてなぜすぐに人々に通知しなかったのかを解明し、脆弱性開示プログラムがどのようにサイバーセキュリティを向上させることができるかについて議論することが目的だと述べた。
不名誉
ウーバーの最高情報セキュリティ責任者ジョン・フリン氏は用意した発言の中で、カラニック氏退任後の配車サービス業界の経営陣が以前述べた「情報漏洩をもっと早く公表しなかったのは間違いだった」という発言を繰り返した。
同氏は上院議員らに対し、ウーバーはハッキング被害によって受けた社会的屈辱と訴訟から何かを学んだと語った。
「バグ報奨金プログラムは、会社から金銭をゆすろうとする侵入者に対処する適切な手段ではないと認識している」と同氏は述べた。
フリン氏は、Uberが自社のコードをGitHubに保存することをやめたと述べた。Uberの防御網を突破したハッカーは、同社のAWSデータストアの認証情報をGitHubのプライベートリポジトリで発見したと説明したが、そのプライベートリポジトリがどのように侵害されたかについては詳しくは触れなかった。
同氏はまた、交通アプリ業界ではAWSの多要素認証の利用を拡大し、IPアドレスのホワイトリストを実装し、アイデンティティとアクセス管理の権限と認証メカニズムを改良し、認証情報の自動有効期限を実装したと述べた。
恐喝
フリン氏と他の公聴会参加者は、オンラインセキュリティを向上させる方法としてバグ報奨金プログラムへの支持を表明したが、正当な脆弱性開示と恐喝を区別するのは必ずしも容易ではないと感じている人もいる。
消費者擁護団体コンシューマーズ・ユニオンのプライバシーおよびテクノロジー政策担当ディレクターのジャスティン・ブルックマン氏は、バグ報奨金プログラムを全般的に支持する一方で、セキュリティ上の欠陥について不必要に人々を不安にさせることを避けるために、2002年に初めて制定された州のデータ侵害通知法は脆弱性開示プログラムと調和させる必要があると述べた。
明らかに、バグが発見されるたびに顧客への通知を義務付けるのは役に立ちません。そうしないと、顧客はメッセージを他のアプリ関連の通知と同じように無視し始めてしまうからです。
ブルックマン氏はまた、より高い報奨金を求めてロビー活動を行うこと自体には何ら問題はないと指摘したが、「ある時点で、より多くの金銭を要求することは、要求が満たされなければエクスプロイトや侵害されたデータを他所に売却するという暗黙の、あるいは明示的な脅迫となる可能性がある」とも認めた。
同氏は、議会は企業にセキュリティ投資を促すより良いインセンティブを与える法律を可決する必要がある、と結論付けた。
脆弱性開示およびバグ報奨金プログラムのプラットフォームである HackerOne の CEO である Marten Mickos 氏は、セキュリティ研究を行ったハッカーに報酬を与えることに賛成の立場を表明したが、これは誰も驚くことではない。
「ハッカーはまさにインターネットの免疫システムだ」と彼は述べ、政府による数々のバグ報奨金制度の成功例を挙げた。彼は、人に危害を加えない行為に対する罰則を撤廃するため、コンピュータ詐欺・濫用防止法の改正を提唱した。
同氏はまた、各州のデータ侵害通知法の調和を求め、企業に対しバグ報告のためのより良いチャネルを開発するよう奨励した。
バグバウンティの専門家…ケイティ・ムスーリス
ルタ・セキュリティの創業者兼CEOであり、マイクロソフトにバグ報奨金制度に対する長年の嫌悪感を捨てるよう説得したケイティ・ムソリス氏は、報奨金制度はバグハンターを増やすが、必ずしもバグ修正の増加にはつながらないと指摘し、議員らに報奨金制度の先を見据えるよう語った。
彼女は、立法上の優先事項として、あらゆる学年、特にコンピュータサイエンスのプログラムに関わるすべての人々に対するセキュリティ教育の改善を支援することを提言しました。言い換えれば、人々は最初から安全なコーディングとその実践を学ぶ必要があるのです。
The Registerとの電話インタビューで、Moussouris氏は「誰もがバグ報奨金に夢中になりすぎて、報奨金プログラムよりも先に、あるいは同時に行うべきセキュリティへの他の投資を忘れているのかもしれない」と語った。
バグ報奨金プログラムは、バグを見つけるための解決策として過剰に宣伝されていると彼女は指摘する。「ペネトレーションテストの費用対効果の高い代替手段ではない」と彼女は言う。
ムスリス氏は、この公聴会はUberへの支払いに関するバグ報奨金制度の運用を検証するという目的を達成したと述べた。フリン氏はUberがミスを犯したこと、そしていかなる言い訳もしなかったことを認めたとムスリス氏は説明した。「国民と議会が聞く必要があったのはまさにそれでした」とムスリス氏は述べた。「議会が示す必要があったのは、最終的にはUberが責任を問われるということです」
責任の範囲は法律の文言によって異なり、ムスリス氏は立法者は慎重に進めるべきだと述べた。モラン上院議員が各州の情報漏洩通知法を調和させるための法案に取り組んでいることに言及し、連邦法は州の要件の中で最も弱いものを採用することで共通項を目指すべきではないとムスリス氏は同議員に助言したと述べた。
彼女はまた、過剰な規制は、企業が責任を回避するためにハッキングされたことを故意に知らないままでいることを促す可能性があるため、同様に問題になると述べた。
「これらは簡単に解決できる問題ではない」と彼女は言った。®
