[麻生川静男の欧州ビジネスITトレンド]

2020年12月22日(火)麻生川 静男

リスト

ドイツ軍がホワイトハッカーに働きかけた内容

　情報セキュリティにまつわるさまざま活動の中でも重要なのが、セキュリティホールの発見だ。いくら綿密にセキュリティ対策を施したと思っても、思わぬところに落とし穴があり痛い目を見る。専門家に脆弱性のチェックを依頼すると非常に高額な金額を請求されるが、その費用を抑えてセキュリティホールの検出を行う手段もある。

　いわゆる「バグバウンティ（Bug Bounty）プログラム」、脆弱性報償金制度である。すでにアップルやグーグル、マイクロソフトといった米国の超大手ですら、自社では見つけられないセキュリティホールをこの制度を使って検出を試みている（関連記事：海外で広がる「バグバウンティ＝脆弱性報償金制度」、もっと日本でも！）

　ドイツ連邦軍も、システムのセキュリティに脆弱性が残っているのではないかとの疑念を持ち続けていた。2020年10月末、ドイツ軍の情報・サイバーセキュリティ室責任者のユルゲン・ゼッツアー（Jurgen Setzer）氏が“反撃”を宣言した。腕利きのホワイトハットハッカー（善意のハッカー）たちにドイツ軍のITシステムを攻撃してもらい、脆弱性を発見してくれるように要請したのだ。

　ゼッツアー氏はアップル、グーグル、ゴールドマン・サックス、マイクロソフト、ルフトハンザ航空の事例を調査し、その先例に倣おうとした。これらの名だたる企業はいずれも長年、バグバウンティプログラムを活用している。

　情報セキュリティの専門家であるホワイトハッカーを募るため、 ゼッツアー氏はドイツ軍の脆弱性開示方針を公表した。同軍はドイツ政府の中でも、情報セキュリティに関しては先頭を切っているとゼッツアー氏は自賛する。しかし、公表資料を読むかぎり、ホワイトハッカーへの訴求力が足りないように見えた。

　というのも、ドイツ軍のバグバウンティには報奨金が示されていなかったのだ。上に挙げた大企業はいずれも、すべて多額の報奨金を提示している。例えば、アップルは、重大な脆弱性を発見した場合の報奨金の上限を20万米ドル（約2070万円）としていたが、最近それを100万ドル（約1億340万円）にまで引き上げている。

高騰の一途をたどるバグバウンティ報奨金

　報奨金のラインを押し上げているのは、脆弱性を検出する競争激化が原因だ。例えば、 2016年に米連邦捜査局（FBI）がホワイトハッカーに対して130万ドルを支払ったことはすでに公然の秘密となっている。このケースでは、FBIはそれまで知られていなかったアップルのiPhoneのデータにアクセスする抜け道を知り、テロリストの検挙につながったと言われる。

　グーグルでは2010年から現在まで、ホワイトハッカーに支払った金額は合計で2100万ドル（約21億7000万円）にも上ると言われる。また、米国防省でもホワイトハッカーに支払うために予算を組んでいる。このように、米国では政府・軍・民間がこぞってホワイトハッカーに多額の報奨金を出すことで、どんな些細な脆弱性をも見つけ出していく姿勢を鮮明にしている。

　ドイツ軍はどうだろうか。ヘリコプター、高速艇、突撃銃などの装備には数十億ユーロ（数千億円）規模の金を投じている。「ホワイトハッカーたちは、そのような大金がかかっている陸・海・空軍の設備のセキュリティ脆弱性を発見するのであるから、報酬として名前を公表するだけでも、本人にとっては十分に名誉なことであるはずだ」とゼッツアー氏は述べる。実際、脆弱性を発見した人がドイツ軍のWebサイトにある謝辞のページに氏名と所属先のURLが記載されているが、名前の公表だけで金銭的報酬は一切ない。何とも上から目線の言い草だ（画面1）。

画面1：ドイツ軍のWebサイトにある謝辞のページ（https://www.bundeswehr.de/de/security-policy/danksagung）

●Next：バグバウンティは最良のサイバー攻撃対抗策か