[内田勝也の日々是セキュリティ]

海外で広がる「バグバウンティ=脆弱性報償金制度」、もっと日本でも!:第1回

2019年8月27日(火)内田 勝也(情報セキュリティ大学院大学 名誉教授)

セキュリティに関する世界最大のイベントの1つが「Black Hat USA」。今年も8月初旬に米国ラスベガスで開催された。さまざまな話題があったが、今回は「バグバウンティ(Bug Bounty)」と呼ばれる脆弱性報償金制度を取り上げたい。Black Hat USA 2019で、米マイクロソフトは、Microsoft Azureの脆弱性を発見するために最大30万ドル、アップルは従来20万ドルだったのを最大100万ドルの報奨金を出すと発表している。このように、セキュリティ上の問題を発見するためにもっと日本でも実践したほうがよいと考えるからだ。セキュリティ人材育成・発掘利点もある。

バグバウンティ=脆弱性報償金制度とは?

 脆弱性報償金制度は、バグ(Bug:システムの欠陥や脆弱性)を発見すれば発見者に報償金を与えるという、バグ発見懸賞プログラムだ。最近、多くの国で実施されるようになっている。バグバウンティ(Bug Bounty)を一躍有名にしたのは、米国防総省(DoD)が、2016年春に1カ月弱かけて実施した「Hack the Pentagon」という実験プログラムだ(画面1)。

画面1:米国防総省は2018年10月24日付けプレスリリースで、Hack the Pentagonのさらなる強化をアナウンスしている
拡大画像表示

 Hack the Pentagonは、DoDがHackerOneという企業のプラットフォームを用いて実施。このプログラムに事前登録してもらったハッカーにDoDのWebの脆弱性を発見させる。見つかれば報償金を支払う仕組みである。なお、言うまでもないが、ここでのハッカーとは ”One who enjoys the intellectual challenge of creatively overcoming limitations.”(創造力豊かで限界を乗り越える知的挑戦を楽しむ人)と定義されており、犯罪者(クラッカー)ではない。

 実際に登録したハッカーは1410人。公開されている5つのWebサイト(defense.gov、 dodlive.mil、dvidshub.net、 myafn.net、dimoc.mil)を対象に脆弱性調査(攻撃)を行ったところ、約1200件の脆弱性報告があった。そのうち報償金に値すると判断されたのが約140件だった。

 それらに対し100ドルから1万5000ドルの報償金を支払っており、総額は7万5000ドル。総経費は15万ドルだったので半分が報奨金である。これを高いと思うかどうかだが、当時の国防長官は「セキュリティ監査や脆弱性評価を行う外部企業に委託すれば100万ドル以上にかかる」と述べている。そのため陸軍など、他の部門にも拡大されている。

「衆知」を集めるアプローチ

 日本の諺に、「三人寄れば文殊の知恵」がある。バグバウンティでは、それ以上の効果を期待しており、国防総省の資料(“Hack the Pentagon” Fact Sheet)では"crowdsource”security solutionと称している。低額の報酬(報償金)を条件として、不特定多数の人々に(インターネットを介して)仕事を依頼する、クラウドソーシングを応用したサイバーセキュリティ対応である。

 ネットワークやシステムが完璧なら問題ないが、それは論理的にありえない。構築時に設定ミスをしたり、構築後にソフトウェアの脆弱性対応(パッチの実行)をしなかったりといったことに起因して、多くの脆弱性が存在する。実際、2001年にDoDが行った脆弱性調査では97~98%は人間の問題、すなわちパッチ未適用か設定ミスであり、技術的な問題ではない(調査の詳細はGovernment TechnologyのWebページを参照)。

 もちろん、セキュリティ監査やペネトレーションテストなどを専門にする企業に委託し、数名の専門家によって調査することでも、いわゆる「ゼロディ」の脆弱性を見つけられる。しかし、それを補完する意味でも多くのハッカーによる脆弱性の発見はより効果的だろう。なお、ゼロディ(Zero Day)とは、ソフトウェアのバグに対する修正プログラムが提供される日(First Day)より前を指す。ゼロディに脆弱性が発見され、攻撃されることを「ゼロディ攻撃」と呼んでいる。

●Next:なぜ日本ではバグバウンティがあまり注目されていないのか?

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

脆弱性検査 / クラウドソーシング

関連記事

Special

-PR-

海外で広がる「バグバウンティ=脆弱性報償金制度」、もっと日本でも!:第1回セキュリティに関する世界最大のイベントの1つが「Black Hat USA」。今年も8月初旬に米国ラスベガスで開催された。さまざまな話題があったが、今回は「バグバウンティ(Bug Bounty)」と呼ばれる脆弱性報償金制度を取り上げたい。Black Hat USA 2019で、米マイクロソフトは、Microsoft Azureの脆弱性を発見するために最大30万ドル、アップルは従来20万ドルだったのを最大100万ドルの報奨金を出すと発表している。このように、セキュリティ上の問題を発見するためにもっと日本でも実践したほうがよいと考えるからだ。セキュリティ人材育成・発掘利点もある。

PAGE TOP