脆弱性報奨金制度

脆弱性報奨金制度とは

脆弱性報奨金制度（Bug Bounty Program）は、製品やサービスを提供する企業が外部のセキュリティ専門家や研究者からその製品における脆弱性の報告を受け、その報告に対して報奨金を支払う仕組みです。この制度により、企業はユーザーが問題に気付く前に迅速にバグを特定し、修正することが可能になります。これにより、大規模なセキュリティインシデントを未然に防ぐことができ、最終的にはより安全な製品を提供できるようになります。

さまざまな企業がこの制度を導入しており、Mozilla、Facebook、Yahoo!、Google、マイクロソフトなどの大手企業はもちろんのこと、日本企業でもサイボウズ、ピクシブ、LINEなどがこのプログラムを実施しています。バグ報奨金プログラムとも呼ばれ、組織によっては独自の名称が付けられていることもあります。

制度の歴史

脆弱性報奨金制度の歴史は1983年にさかのぼります。この年にVersatile Real-Time Executive向けの制度が始まり、初めて脆弱性を発見した研究者にはフォルクスワーゲン・タイプ1（ビートル）が贈られました。特にこのケースが制度の起源としてよく知られています。

1995年にネットスケープコミュニケーションズのJarrett Ridlinghaferが「バグバウンティ」という用語を造り、初のバグバウンティプログラムを提案しました。ネットスケープのユーザーフォーラムに集まるエンジニアたちが熱心にバグを修正したり情報を共有したことから、企業としてもそのリソースを活用するべきと考えたのです。同年に実際に制度が開始され、当初はノベルティグッズや景品が報酬として贈られ、その後はハッキングコンテストを通じて賞金が増額されることとなりました。

近年のトピックス

近年では、脆弱性開示方針についての議論も活発です。例えば、2013年にFacebookで報告された脆弱性に関する事件では、報告者Khalil Shreatehは特定のアカウントに動画を投稿できるという脆弱性を指摘しましたが、Facebookからは「バグではない」と却下され、その後彼は実際に脆弱性を悪用してマーク・ザッカーバーグのプロフィールに投稿し、アカウントが一時的に凍結される結果となりました。

Uberも2016年に大規模な情報漏洩事件を経験し、個人情報5700万人分が漏洩した問題に対処するため、脆弱性報奨金制度を使って行動のルールをより明確に定めました。このような事件を受けて制度の改善策が急速に求められるようになりました。

報酬の内容

報酬の内容も多様化しており、Yahoo!では一時期、脆弱性の報告に対してTシャツを報酬として配布していたことが大きな批判を招く原因となりました。Yahoo!のセキュリティチームの責任者は、この行為は「感謝」として個人的に行ったもので、正式なプロセスではなかったとコメントしています。2013年に正式な脆弱性報奨金制度を開始した際には、バグの重大度に応じて最大1万5000ドルの報奨金が支払われるように改善されました。

地域による差異

この制度は全世界で広がりを見せていますが、特にアメリカやインドでは多くのバグ報告が寄せられています。2018年のデータによると、インドはバグハンターの数で世界トップとされています。また、Facebookでも2017年にはインドからの報告が最も多かったとされています。

代表的な制度

Googleは2010年にChromeウェブブラウザ向けの脆弱性報奨金制度を試験的に導入し、以降拡張を重ねています。現在では合計2100万ドル以上の報奨金を支払い、報告内容の範囲も広がっています。また、2013年にはマイクロソフトやFacebookが後援する「The Internet Bug Bounty」というプログラムも始まり、広範囲なソフトウェアにエクスプロイトを報告する機会を提供しています。

このように、脆弱性報奨金制度はますます重要性を増しており、企業と研究者の連携を通じて、より安全なインターネット環境の構築に寄与しています。

もう一度検索