GoogleやMicrosoftも導入! 一攫千金も? 脆弱性を見つけて賞金が稼げる「脆弱性報奨金制度」

GoogleやMicrosoftも導入! 一攫千金も? 脆弱性を見つけて賞金が稼げる「脆弱性報奨金制度」

プログラムに脆弱性がひそんでいてもプログラム自身はちゃんと動いていますので、脆弱性があることが分かりません。そこで作られたのが「脆弱性報奨金制度(バグバウンティプログラム)」です。

ボバ・フェットという人物をご存知ですか。映画『スター・ウォーズ』シリーズに出てくる人物で、本編での登場シーンはあまりありませんが、多くのスピンオフ作品に登場し人気キャラクターになっています。

ボバ・フェットの職業が「賞金稼ぎ(バウンティハンター)」です。特注のアーマーや殺傷力の高い武器を駆使し寡黙な人物ですが、賞金稼ぎジャンゴ・フェットの遺伝子から作られたクローンでもあります。この賞金稼ぎ、映画の中だけの話かと思うかもしれませんが、今も現役の職業でもあります。


■賞金稼ぎ(バウンティハンター)という職業がある
アメリカでは賞金稼ぎが職業として成り立っています。アメリカでは裁判での保釈金が高額なため、支払いができない被疑者の保釈金を立て替える保釈金保証業者が存在します。業者は被疑者から手数料をとることで経営が成り立っており、被疑者が指定された期日に裁判所に出頭し、裁判を受けると保釈金が返還される仕組みになっています。

ところが被疑者が逃亡し裁判を受けなかった場合には、保釈金は返還されず業者側は大損となります。そこで登場するのが賞金稼ぎです。裁判から逃げた逃亡者を捕まえ、保釈金保証業者に引き渡すのが賞金稼ぎの業務です。


■脆弱性報奨金制度(バグバウンティプログラム)がある
この職金稼ぎがセキュリティの世界にもあり、それが「脆弱性報奨金制度(バグバウンティプログラム)」です。プログラムは何百万もの命令から構成されています。人が作りますので必然的にミスがあり、これがバグになります。バグが出た場合は事象として不具合になりますので発見できバグを修正できますが、やっかいなのが脆弱性です。

プログラムに脆弱性がひそんでいてもプログラム自身はちゃんと動いていますので、脆弱性があることが分かりません。攻撃側にとっては脆弱性が知られていない間は攻撃し放題ですから、わざわざ教えません。それどころか「ダークウェブ(Dark Web)」で取引されています。


■ダークウェブとは
検索などで見つけたり、URLを入力して表示する企業などのSNS、ネットショップ、ブログなどは「サーフェイスウェブ(Surface Web:表層ウェブ)」と呼ばれています。サーフェイスとは、表層という意味です。ダークウェブは検索エンジンで見つけることができないだけでなく、閲覧も一般的なウェブブラウザーでは不可能で、専用ツールが必要なウェブです。

サーフェイスウェブは氷山の一角で海から少し出ている部分だけです。氷山の大部分が海中にあるようにウェブでもダークウェブの方が圧倒的にたくさんあります。ダークウェブでは遺法性が高い情報や物品が取引されています。また、それ以外に、自由な議論ができない国があり、国民間で秘密裡に情報をやりとりする時にも使われています。


■脆弱性報奨金制度とは
プログラムにひそむ脆弱性を見つけるために生まれたのが「脆弱性報奨金制度(バグバウンティプログラム)」です。ホワイトハッカーにプログラムの脆弱性を見つけてもらい報奨金を支払う制度です。ホワイトハッカーとはセキュリティ技術に精通したエンジニアのことで、もともとハッカーという言葉が使われていました。

ところがハッカーという言葉にサイバー攻撃の攻撃者イメージがあるためホワイトハッカーという言い方をしています。攻撃者は「ブラックハッカー」「クラッカー」と呼んで区別しています。

脆弱性報奨金制度の初期の頃は牧歌的な時代で、ネットスケープ社では脆弱性の報告があるとロゴ入りマグカップとTシャツのノベルティを贈呈していました。これがどんどん高額化します。もちろん脆弱性の深刻度が高いほど報奨金の金額も大きくなります。


■脆弱性発見で一攫千金
Google(グーグル)では1件のバグに対して500ドル〜1万5000ドルの報奨金を支払っています。2019年には総額で650万ドル(約7億円)を支払い、最高額は20万ドル(約2200万円)でした。マイクロソフトのWindws10では重点分野に関しては5000ドル〜25万ドルで募集しています。日本の企業も脆弱性報奨金制度を取り入れておりサイボウズでは上限100万円で脆弱性情報を募集しています。

自前で脆弱性をチェックしようと思うと企業で人材を雇い、育成すると多額な費用がかかります。「三人寄れば文殊の知恵」ではありませんが、外部のたくさんの人に脆弱性を見つけてもらった方が結果的に安上がりになる面もあります。また脆弱性情報を高く買い取りしてくれるのであればダークウェブで販売するというインセンティブがなくなり、攻撃を減らす効果もあります。

多くの企業ではサーバーに「IPS(不正侵入防止システム)」を導入しています。脆弱性情報を買い取る企業のなかにはIPSメーカーもいます。他に知られていない脆弱性情報が分かり、最初に対応できれば競合他社の商品に対して差別化できます。結果的に一般への脆弱性周知が遅れる面もあり、賞金稼ぎの世界はやはりシビアです。


■トレジャーハンターだったポール・アレン
マイクロソフト創業者といえばビル・ゲイツが有名ですが共同で事業を立ち上げたのがポール・アレンです。ポール・アレンは2018年に亡くなりましたが、ビル・ゲイツとともにマイクロソフトを発展させ、大資産家となります。

マイクロソフトを辞めた後、資産をもとに多彩な活動をしていましたが、その一つが戦没した戦艦の深海調査です。父親が太平洋戦争に従軍していたことから沈没した戦艦に興味があったようです。こちらはリアルなお宝を探すトレジャーハンターですが、戦艦「武蔵」の発見は日本でも大きく報道されました。
(文:水谷 哲也(企業のIT活用ガイド))

関連記事(外部サイト)

×