[内田勝也の日々是セキュリティ]

2019年8月27日(火)内田 勝也（情報セキュリティ大学院大学 名誉教授）

リスト

バグバウンティ＝脆弱性報償金制度とは？

　脆弱性報償金制度は、バグ（Bug：システムの欠陥や脆弱性）を発見すれば発見者に報償金を与えるという、バグ発見懸賞プログラムだ。最近、多くの国で実施されるようになっている。バグバウンティ（Bug Bounty）を一躍有名にしたのは、米国防総省（DoD）が、2016年春に1カ月弱かけて実施した「Hack the Pentagon」という実験プログラムだ（画面1）。

画面1：米国防総省は2018年10月24日付けプレスリリースで、Hack the Pentagonのさらなる強化をアナウンスしている
拡大画像表示

　Hack the Pentagonは、DoDがHackerOneという企業のプラットフォームを用いて実施。このプログラムに事前登録してもらったハッカーにDoDのWebの脆弱性を発見させる。見つかれば報償金を支払う仕組みである。なお、言うまでもないが、ここでのハッカーとは ”One who enjoys the intellectual challenge of creatively overcoming limitations.”（創造力豊かで限界を乗り越える知的挑戦を楽しむ人）と定義されており、犯罪者（クラッカー）ではない。

　実際に登録したハッカーは1410人。公開されている5つのWebサイト（defense.gov、 dodlive.mil、dvidshub.net、 myafn.net、dimoc.mil）を対象に脆弱性調査（攻撃）を行ったところ、約1200件の脆弱性報告があった。そのうち報償金に値すると判断されたのが約140件だった。

　それらに対し100ドルから1万5000ドルの報償金を支払っており、総額は7万5000ドル。総経費は15万ドルだったので半分が報奨金である。これを高いと思うかどうかだが、当時の国防長官は「セキュリティ監査や脆弱性評価を行う外部企業に委託すれば100万ドル以上にかかる」と述べている。そのため陸軍など、他の部門にも拡大されている。

「衆知」を集めるアプローチ

　日本の諺に、「三人寄れば文殊の知恵」がある。バグバウンティでは、それ以上の効果を期待しており、国防総省の資料（“Hack the Pentagon” Fact Sheet）では"crowdsource”security solutionと称している。低額の報酬（報償金）を条件として、不特定多数の人々に（インターネットを介して）仕事を依頼する、クラウドソーシングを応用したサイバーセキュリティ対応である。

　ネットワークやシステムが完璧なら問題ないが、それは論理的にありえない。構築時に設定ミスをしたり、構築後にソフトウェアの脆弱性対応（パッチの実行）をしなかったりといったことに起因して、多くの脆弱性が存在する。実際、2001年にDoDが行った脆弱性調査では97～98％は人間の問題、すなわちパッチ未適用か設定ミスであり、技術的な問題ではない（調査の詳細はGovernment TechnologyのWebページを参照）。

　もちろん、セキュリティ監査やペネトレーションテストなどを専門にする企業に委託し、数名の専門家によって調査することでも、いわゆる「ゼロディ」の脆弱性を見つけられる。しかし、それを補完する意味でも多くのハッカーによる脆弱性の発見はより効果的だろう。なお、ゼロディ（Zero Day）とは、ソフトウェアのバグに対する修正プログラムが提供される日（First Day）より前を指す。ゼロディに脆弱性が発見され、攻撃されることを「ゼロディ攻撃」と呼んでいる。

●Next：なぜ日本ではバグバウンティがあまり注目されていないのか？