バグバウンティ / バグ報奨金制度（用語）

HackerOneがウクライナのハッカーへのバグ報奨金支払いを停止

ウクライナのハッカーやセキュリティ研究者によると、バグ報奨金制度プラットフォームのHackerOne（ハッカーワン）は、場合によっては数千ドル（数十万円）にもなるバグ発見・報告の報酬金を保留し、ハッカーが報酬を引き出せないようにしているという。

HackerOneのアカウントを持つ複数のハッカーや研究者は、2022年2月末のロシアのウクライナ侵攻にともなう経済制裁と輸出規制を理由に、HackerOneが支払いをブロックしているが、自分たちには制裁は適用されないとツイートしている。

HackerOneのサポート担当者がセキュリティ研究者のVladimir Metnew（ウラジミール・メットニュー）氏に送ったメールには「ウクライナ、ロシア、ベラルーシにお住まいの場合、すべての通信と取引（スワッグの発送を含む）は当分の間、一時停止されます」とあり、メットニュー氏はその文面をツイートしている。ウクライナ人だが現在は欧州連合内にいるメットニュー氏はアカウントが凍結されているとTechCrunchに語った。「ウクライナから登録した人全員への支払いをブロックしたのだと思います」と同氏は話した。

バグ報奨金プログラムを展開するHackerOneは、セキュリティバグを発見・報告するハッカーやセキュリティ研究者と、製品やサービスの修正を依頼する企業の仲介を行っている。2020年にHackerOneは1億700万ドル（約126億円）超のバグ発見報酬金を研究者に支払い、彼らの多くはその収益を収入源としている。

ウクライナに残っている他のハッカーや研究者からも「口座が凍結された」「資金を引き出せない」といった同様の状況が報告されている。発見したバグがTechCrunchで定期的に報じられているウクライナのセキュリティ研究者Bob Diachenko（ボブ・ディアチェンコ）氏は、2月以降の収益3000ドル（約35万円）が現在保留されているとツイートで述べた。

HackerOneからの明白な公式連絡がなく、ウクライナ人全員への支払いを止める動きは怒りと混乱をもって受け止められている。HackerOneがどのような制裁や輸出規制を指しているのかは不明だ。米国、欧州連合、その他いくつかの同盟国は、ロシアとベラルーシに対して厳しい経済制裁を科し、現在分離主義のグループが保持しているウクライナ東部のドンバス地方や、2014年にロシアに併合されたクリミアに対する禁輸措置も行っている。しかし、ウクライナはそうした制裁の対象ではない。

影響を受けているハンドルネームkazan71pのあるウクライナ人ハッカーは「クリミアやドンバス出身ではない【略】あなたはすべてのウクライナ人のアカウントを停止し、国全体を制裁下に置いただけだ」とHackerOneに言及したツイートで述べた。

HackerOneは、ウクライナのハッカーや研究者への支払いをブロックした理由や、適用されると考えている特定の制裁を引用していない。TechCrunchが本稿公開の数時間前にHackerOneに連絡を取ったところ、同社の広報担当者はすぐにコメントしたり質問に答えたりすることはできなかった。詳細が分かり次第、更新する。

アカウント凍結は、HackerOneのCEOであるMarten Mickos（マーチン・ミコス）氏が、制裁対象国、特にロシアやベラルーシに住むハッカーの収益を慈善事業に「再ルート」すると述べたた頃に実施されたようだ。同氏はツイートのスレッドでそのように発言し、そのスレッドはすでに削除されている。

xnwupというハンドルネームのあるハッカーは、HackerOneが2万5000ドル（約295万円）の収益を「私がベラルーシ市民だから」奪っていると述べた。ウクライナへの支持を表明しながらも、ベラルーシ政権に反対する発言で安全が脅かされることを恐れたこのハッカーは、自分たちの収益は「長年の努力の結果」だと語った。

ミコス氏は新しいツイートスレッドで資金のルート変更についてのコメントを撤回し、今度はハッカーの許可を得た場合にのみハッカーの報酬を寄付することを申し出た。

画像クレジット：Alexandre Dulaunoy / Flickr

［原文へ］

（文：Zack Whittaker、翻訳：Nariko Mizoguchi）

IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービス、システム開発などを手がけるSKYは、同社製品の情報セキュリティー上の脆弱性に関する情報を報告したユーザーに報奨金を支払う「SKY脆弱性報奨金制度」を開始した。報奨金は最大で200万円になる。

脆弱性報奨金制度（Bug bounty program）は、自社製品やサービスの安全性向上を目的として海外の大手IT企業などがすでに実施しているが、SKYでも、「検知難易度の高い潜在的なセキュリティリスクをいち早く発見できる」手段として「SKY脆弱性報奨金制度」を設立し、ユーザーからの協力を求めることにした。この制度の設計からリリースまでは、SOC支援やCSIRT支援を行う川口設計の協力で行われた。

応募された情報は、受け付け順に審査され、認定が行われた後に公開される。報奨金は、緊急性、重要性などに基づき定められたベース金額に、共通脆弱性評価システム「CVSS」の値が乗算され、さらに、RCEか否か、脆弱性種別に応じて金額が加算される。最大で、脆弱性1件につき200万円となる。

この他、応募に関する条件、対象製品、情報の取り扱いなど、制度に関する詳細は、「Sky脆弱性報奨金制度規約」「Sky脆弱性報奨金制度ルールブック」をご覧いただきたい。 IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne（ハッカーワン）が4900万ドル（約56億6000万円）のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j（ログフォージェイ）の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos（マーテン・ミコス）氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル（約184億7000万円）近くになった。ラウンドをリードしたのはGP Bullhound（GPブルハウンド）で、他に既存出資者のBenchmark（ベンチマーク）、NEA、Dragoneer Investment Group（ドラゴニア・インベストメント・グループ）、およびValor Equity Partner（ベイラー・イクイティー・パートナー）が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google（グーグル）、Dropbox（ドロップボックス）、Microsoft（マイクロソフト）、Twitter（ツイッター）の名前もある。

画像クレジット：Alexandre Dulaunoy / Flickr

［原文へ］

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）

Metaがバグ報奨金プログラムを拡大、スクレイピングされたデータの発見も対象に

Meta（メタ）は、バグ報奨金プログラムを拡大し、データのスクレイピングを報告した研究者にも報奨金を与えると発表した。この変更により、スクレイピング行為を可能にするバグや、すでにオンラインで公開されている過去にスクレイピングされたデータを報告することも、報奨金の対象となる。

Metaはブログ記事で、スクレイピング行為に特化したバグ報奨金プログラムが起ち上げられたのは、同社が知る限り、これが初めてだと書いている。「当社では、攻撃者がスクレイピングの制限を回避して、我々が当初意図した以上の規模でデータにアクセスすることを可能にする脆弱性の発見を期待しています」と、セキュリティ・エンジニアリング・マネージャーのDan Gurfinkle（ダン・ガーフィンクル）氏は、説明会で報道陣に語った。

データスクレイピングは、Metaが追っている他の「悪意ある」攻撃とは異なり、自動化されたツールを使用して、ユーザーのプロフィールからメールアドレス、電話番号、プロフィール写真などの詳細な個人情報を大量に収集するというものだ。ユーザーがFacebookの公開プロフィール上でこれらの情報を自ら進んで公開していることもあるが、スクレイパーは、これらの個人情報を検索可能なデータベースに掲載するなど、より広範に公開する場合がある。

また、Metaがこのような行為に対抗するのは困難な場合もある。例えば、2021年4月には、5億人以上のFacebookユーザーの個人情報が、フォーラムで公開されたことがあった。このケースでは、実際のデータスクレイピングは数年前に発生したものであり、同社はすでに根本的な欠陥に対処済みだった。しかし、一度データがネット上に流出し始めてしまうと、同社にできることはほとんどなかった。また別のケースでは、データスクレイピングを理由に、同社が個人に対し訴訟を起こしたこともある。

新しいバグ報奨金プログラムの下では、研究者は「PII（個人識別情報）または機密データ（例えば、メールアドレス、電話番号、住所、宗教や政治的所属）を含む、少なくとも10万件の固有のFacebookユーザーレコードが収蔵された、保護されていないまたは公開されているデータベース」を見つけると報奨金が支払われる。ただし、Metaによると、報奨金は研究者に直接支払われるのではなく、研究者が選んだ慈善団体に寄付されるという。これは（報奨金を目当てに）スクレイピングされたデータを公開しようとする行為を奨励しないようにするためだ。

データスクレイピングにつながるバグの報告については、研究者は寄付か直接支払いのどちらかを選択できる。Metaによると、バグまたはデータセットの発見には、どちらも最低500ドル（約5万7000円）以上の報奨金を支払うとのこと。

編集部注：本記事の初出はEngadget。執筆者Karissa BellはEngadgetのシニアエディター。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Karissa Bell、翻訳：Hirokazu Kusakabe）

グーグルがAndroid Enterpriseの「バグ報奨金」プログラムを実施

Android 12はGoogle（グーグル）のPixel端末向けに正式公開され、他機種にも徐々に展開される予定だ。Androidは消費者プロダクトだと思っている人が多いかもしれないが、ここ数年Googleは、これをエンタープライズツールにもするべく力を注いでいる。Android 12にはすでに多くの企業向け機能が標準搭載されているが、GoogleがAndroid Enterpriseに関連して、セキュリティに焦点を当てた新たな取り組みを複数発表したことに驚きはない。

その中には、新たなバグ発見懸賞プログラム、その名も「Android Enterprise Vulnerability Program」（Android Enterprise脆弱性プログラム）があり、Android Enterpriseが動作しているPixel端末の重大なバグを発見した場合に最大25万ドルの報奨金が支払われる。

またGoogleは、広くパートナー・エコシステムと協力してAndroidのZero Trust（ゼロトラスト）セキュリティ・モデルのサポートを拡張する取り組みも行っている。これは、たとえばOkta、Ping、ForgeRockなどのパートナーと組むことで、Android上の認証ワークフローを、WebViewからChromeのCustom Tabsに移行することを意味している。以前からGoogleは、デベロッパーは自社ドメイン以外のコンテンツをレンダリングする際には必ずCustom Tabsを使うべきであると主張してきた。これは性能面だけでなく、Chromeのセーフブラウジング機能がセキュリティを強化するためだ。

「WebViewはウェブコンテンツのレンダリングにおける柔軟で強力なツールですが、Custom Tabsは最新のフル機能を備えているので、アイデンティティープロバイダーは端末のトラストシグナルを集め、従業員の安全を改善し、複数のアプリとウェブを通じてシングルサインオンを行うことが可能になります」、とGoogleのシニアプロダクトマネージャーであるRajeev Pathak（ラジーブ・パサック）氏が米国時間10月21日の発表で説明した。

さらにGoogleは、Android Management APIを拡張して、Microsoft、Citrix、あるいはGoogle自身の提供するEnterprise Mobility Solutionsを使っている企業が「すべてのエンタープライズ機能を、ベストプラクティスとAndroid Enterprise Recommendedの必要要件とともに、いちはやく利用できる」ようにする。

画像クレジット：Steven Puetzer / Getty Images

［原文へ］

（文：Frederic Lardinois、翻訳：Nob Takahashi / facebook ）

ウェブホストEpikはハッキング数週間前に重大なセキュリティ上の欠陥を警告されていた

ハクティビスト集団「アノニマス」に関連するハッカーたちは、ウェブホストおよびドメインレジストラであるEpik（エピック）から、ギガバイト単位のデータをリークしたと発表した。Epikは、主流のプラットフォームから追い出されたGab、Parler、8chanなどの極右サイトの避難先となっている。

このグループは、先に公開されたデータのトレントファイルに添付された声明の中で、180ギガバイトは、Epikの「実際の所有者と管理者を追跡するために必要なすべて」を含む「10年分」の企業データに相当すると述べている。グループは、顧客の支払い履歴、ドメインの購入と譲渡、そしてパスワード、認証情報、従業員のメールボックスを手に入れたと主張した。盗まれたデータのキャッシュには、同社の内部ウェブサーバーのファイルや、エピックに登録されているドメインの顧客記録を含むデータベースも含まれている。
関連記事
・極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止
・極右お気に入りのレジストラが「検閲に強い」サーバーを構築中

ハッカーたちは、どのようにしてデータを入手したのか、いつハッキングが行われたのかについては言及していないが、最新のファイルのタイムスタンプによると、ハッキングが行われたのは2月下旬のようだ。

Epikは当初、情報漏洩の事実を知らないと記者に述べていたが、創業者であり最高経営責任者であるRobert Monster（ロバート・モンスター）氏が9月15日の水曜日に送信したメールは、「疑惑のセキュリティ事件」についてユーザーに警告していた。

TechCrunchはその後、Epikが情報漏洩の数週間前に重大なセキュリティ上の欠陥を警告されていたことを知った。

セキュリティ研究者のCorben Leo（コーベン・レオ）氏は、1月にLinkedInを通してEpikの最高経営責任者であるモンスター氏に、ウェブサイトのセキュリティ的脆弱性について連絡していた。レオ氏は、同社が脆弱性の報告に対して報奨金を払うバグバウンティや、他の脆弱性の報告の方法を用意しているかどうかを尋ねた。LinkedInのメッセージは既読になったが、返事はなかった。

レオ氏がTechCrunchに語ったところによると、EpikのWHOISページでパブリックドメインの記録のPDFレポートを生成するために使われているライブラリには、10年来の脆弱性があり、会社のパスワードなどの認証なしに、誰でもリモートで内部サーバー上で直接コードを実行することができたという。

「このコードを貼り付けるだけで、そのサーバー上であらゆるコマンドを実行することができる」とレオ氏はTechCrunchに語った。

レオ氏は、公開されているWHOISページから、サーバーにユーザー名を表示するよう求める概念実証用（PoC）のコマンドを実行し、Epikの内部サーバー上でコードが実行できることを確認した。しかし、違法になるため、サーバーがどのようなアクセス権を持っているかについてはテストしなかったという。

アノニマス・ハクティビストが、レオ氏が発見したのと同じ脆弱性を利用したかどうかは不明だ（盗まれたキャッシュの一部には、EpikのWHOISシステムに関連するフォルダも含まれているが、ハクティビストたちは連絡先を残さず、コメントを得ることができなかった）。しかし、レオ氏は、ハッカーが同じ脆弱性を利用し、そのサーバーがネットワーク上の他のサーバー、データベース、システムにアクセスできた場合、そのアクセスによって、2月にエピックの内部ネットワークから盗まれた種類のデータにアクセスできた可能性があると主張している。

レオ氏は、TechCrunchに対し「ハッカーは私が見つけた脆弱性を利用したと思っている」と述べ、その欠陥が修正されたことを確認した。

モンスター氏は、LinkedInでレオ氏のメッセージを受け取ったことを確認したが、情報漏洩についての質問には答えず、脆弱性がいつ修正されたかについても言及しなかった。「賞金稼ぎが自分たちのサービスを売り込んでくる。私は、そのうちの1人だと思ったんだ」とモンスター氏はいう。「私がそれに対応したかどうかわからない。あなたはすべてのLinkedInのスパムメールに答えていますか？」。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Yuta Kaminishi）

企業はバグバウンティを導入すべき！「最も安全な暗号資産取引所」を目指すクラーケンがハッカーに協力を要請するワケ

編集部注：この原稿は千野剛司氏による寄稿である。千野氏は、暗号資産交換業者（取引所）Kraken（クラーケン）の日本法人クラーケン・ジャパン（関東財務局長第00022号）の代表を務めている。Krakenは、米国において2011年に設立された老舗にあたり、Bitcoin（ビットコイン）を対象とした信用取引（レバレッジ取引）を提供した最初の取引所のひとつとしても知られる。

暗号資産取引所クラーケンは、取引所によるセキュリティ対策の一環としてバグバウンティ・プログラム（bug-bounty program）を実施しています。バグバウンティとは、報奨金制度の一種です。企業が自社の製品・サービスに対する調査を公開で依頼し、世界中のホワイトハッカーから製品やサービスの脆弱性（バグ）の発見・報告を受け、ハッカーに対して報奨金を支払う仕組みを指します。本稿では、なぜクラーケンがバグバウンティを採用しているか、そして、企業だけでなくコミュニティ全体でセキュリティ対策をすることが重要である理由について、解説します。

暗号資産業界全体への貢献も目指す、社内特別チーム「セキュリティ・ラボ」を構築

クラーケンにとってセキュリティは最も重要な事項です。社内には世界最高クラスのセキュリティ専門家やエンジニアが多数在籍しており、常に我々のプロダクト・サービスが正常に機能しているか監視しています。

我々は、セキュリティの専門家集団が在籍する特別チームを「セキュリティ・ラボ」と呼んでいます。

セキュリティ・ラボは、クラーケンのセキュリティがいくら強化されても、暗号資産業界全体のセキュリティ向上がなければ意味がないと考えています。このため、クラーケンの顧客を含めて業界で広く使われている第三者企業開発のプロダクト・サービスをテストし、脆弱性を公開したりセキュリティに対する知識を深めるための教育コンテンツを展開したりしています。

セキュリティコミュニティの力を借りる「バグバウンティ・プログラム」

このようにクラーケンは、自社のセキュリティ・ラボの活動を中心に業界全体でシステム上の欠陥をなくす活動を行う一方で、バグバウンティ・プログラムとして業界全体もしくはセキュリティコミュニティのサポートを得ることで、クラーケンのセキュリティを改善するための取り組みも実施しているのです。

具体的には、顧客や第三者の企業、ホワイトハッカーなどにバグを発見してもらった場合、その対価として謝礼をお支払いするとともに、ウェブサイトの「ウォール・オブ・フェーム」に氏名を記載させていただいています。

クラーケンの「ウォール・オブ・フェイム」（抜粋）

謝礼に関しては、クラーケンでは、バグを報告いただいた方に対して、最低500ドル（約5万5000円）相当のビットコインを差し上げています。特に深刻なバグの場合は、報告いただいたバグの重要度に応じて、500ドル以上の謝礼をお支払いしています。

なお、バグ報告は、bugbounty＠kraken.com宛てにお送りいただいています。

脆弱性のレベル

クラーケンでは、脆弱性のレベルを「重大」「高い」「中程度」「低い」に分類しています。

「重大」は、クラーケンやクラーケンの顧客の多くに直接的かつ即時的にリスクがあるケースです。例えば、クラーケンのサインインやパスワード、2FA（2要素認証）を迂回するケースや顧客情報、内部のプロダクションシステムへのアクセスが該当します。

「高い」は、アクセス権限がない機密情報を読み込んだり修正したりする攻撃です。コンテンツセキュリティポリシー（CSP）を迂回するクロスサイトスクリプティング（XSS）や、公開情報から重要な顧客データを発見されることなどが含まれます。

「中程度」は、限定的ではあるものの、アクセス権限がない情報を読み込んだり修正したりする攻撃です。リスクの低い行為に対するクロスサイトリクエストフォージェリ（CSRF）や、アクセス権限がないにもかかわらず、内部のプロダクションシステムの機密ではない情報を公開することなどが含まれます。

「低い」は、機密情報などへの入手にはつながらない、かなり限定的な範囲でのデータへのアクセスを想定しています。

実は費用対効果が抜群、バグバウンティ・プログラムのススメ

クラーケンは、暗号資産関連企業を含むすべての企業がバグバウンティ・プログラムを導入すべきだと考えます。

なぜなら、バグバウンティ・プログラムの費用対効果は「抜群」といえるからです。

実は、データ流出による被害コストが1件あたり400万ドル（約4億4000万円）であることを考えると、バグバウンティ・プログラムの導入費用はかなりお手頃です。もちろんバグバウンティ・プログラム導入前には多く事項を検討しなくてはなりませんが、外見的には「研究者が脆弱性を報告するためのメールアドレスの設定」、「ふるい分けをするため専門知識のある社員を配属」、そして「報酬体系の確立」を行うだけでプログラムの体制は整います。

ハッカーや優秀なセキュリティ研究者と協力し、コミュニティとしてセキュリティを高めることの重要性

クラーケンは、取引所だけがセキュリティ対策を万全にすれば良いと考えておらず、コミュニティ全体の協力の下でセキュリティレベルの底上げを図ることが重要だと考えます。クラーケンの最高セキュリティ責任者（CSO）のニック・ペルコッコは、クラーケンの強固なセキュリティに自信と信頼を持っているものの、「1つの企業だけで常に100％の安全性を保てる企業は存在しない」と細心の注意を払っています。

では、コミュニティのどんな人々が協力をしてくれるのでしょうか？バグバウンティ・プログラムに関してよく耳にするのは「ハッカー」です。

日本においては、「ハッカー」と聞くと不正にアクセスして重要な情報や資金を盗む集団というネガティブな印象を持つ人が少なくないかもしれません。しかし、ニック・ペルコッコは「我々も含む多くのホワイトハッカーは、より安全な世界を見たいと思っているのが本音だ」と指摘し、次のように述べています。

「我々は、セキュリティのコミュニティがシステムやプロダクトの脆弱性を発見することで企業やプロジェクトに多大な恩恵をもたらすと信じているし、我々はそのことを会社をあげて大いに歓迎したい」

バグバウンティ・プログラムとは、こうした善意あるハッカーが脆弱性を報告し、報酬を得るための安全なプラットフォームといえます。

コミュニティから協力を募り、脆弱性に関してある意味で「オープン」な姿勢を持つクラーケンは、セキュリティの脆弱性に関する情報を隠したり曖昧にしたりする企業と対照的です。クラーケンは「透明性こそセキュリティと暗号資産の核心的な要素」であり、「（オープンな姿勢こそ）我々を強くし、我々の競争力を高める」（ニック・ペルコッコ）と考えます。

実際、クラーケンはバグバウンティに参加する世界屈指の優秀なセキュリティ研究者によっていくつかのアプリのテストを実施してもらいました。彼らの一部は小さな脆弱性を発見し、クラーケンは本物の攻撃者が悪事を働く前にその脆弱性への対応に成功しました。

2020年は、クラーケンで報酬の支払い対象となったバグ・バウンティは29件あり、平均の報酬額は775ドル（約8万5000円）でした。

クラーケンは、1つの取引所としてのセキュリティ対策に加えて、コミュニティ全体からのサポートによって、外部評価機関から安全面で一流の取引所であるという評価を得られたのです。

カテゴリー：寄稿

タグ：暗号資産 / 仮想通貨（用語）、クラーケン / Kraken（企業・サービス）、ハッカー / ハッキング（用語）、バグ / 脆弱性（用語）、バグバウンティ / バグ報奨金制度（用語）、ブロックチェーン（用語）

画像クレジット：Ewan Kennedy on Unsplash

Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施

Andrew Kelly / Reuters

Twitterが、システムが自動的に画像をクロップする際の”偏り”を発見した人に謝礼を支払う報奨金コンテストをHackerOneを通じ開始しました。報奨金と言えば、セキュリティ上の問題や処理上の不具合を発見した人に対して賞金を支払うバグバウンティ・プログラムが一般的におこなわれていますが、今回Twitterが始めたのは、ユーザーが投稿した写真をサムネイル化するため、ちょうど良い具合にクロップ(切り抜き)するアルゴリズムにどこか偏りがないかを探そうというコンテスト形式のプログラムです。

Twiiterの自動画像クロップは2018年から使われ始めましたが、一部ユーザーからはこのアルゴリズムが肌の白い人を中心にするようなバイアスがかった処理を行う傾向があると批判の声が上がっていました。

「われわれは5月に画像切り出しアルゴリズムの提供をいったん止め、認識の偏りを識別するアプローチを共有し、人々がわれわれの作業を再現できるようにするためコードを公開しました」とTwitterはブログで述べ「この作業をさらに進めて、潜在的な問題を特定するため、コミュニティに協力を仰ぎ、奨励したいと考えています」としました。

Twitterいわく、この報奨金コンテストは「業界初」のアルゴリズムのバイアスを対象とした報奨金プログラムとのこと。賞金額は最高3500ドル(約38万円)と控えめではあるものの、Twitterで機械学習倫理および透明性・説明責任チームのディレクターを務めるRumman Chowdhury氏は「機械学習モデルの偏りを見つけるのは難しく、意図しない倫理的な問題が一般に発見されて初めて企業が気づくこともあります。われわれは、それを変えたいと考えています」としています。

そしてこのプログラムを行うのは「これらの問題を特定した人々が報われるべきだと信じているからであり、我々だけではこれらの課題を解決することはできないからだ」と述べています。このコンテストは、2021年7月30日から2021年8月6日までエントリーを受け付けるとのこと。受賞者は、8月8日に開催されるTwitter主催のDEF CON AI Villageのワークショップで発表されます。

（Source：Twitter。Engadget日本版より転載）

カテゴリー：パブリック / ダイバーシティ

タグ：機械学習 / ML（用語）、差別（用語）、説明責任（用語）、Twitter / ツイッター（企業）、DEF CON、ハッカー / ハッキング（用語）、HackerOne（企業・サービス）、バイアス（用語）、バグバウンティ / バグ報奨金制度（用語）、倫理（用語）

フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加

ことバグ探し懸賞に関して、Facebook（フェイスブック）はMicrosoft（マイクロソフト）やGoogle（グーグル）と比べて、報奨金の支払額においても受け取ったバグ報告の数においても遅れを取っている。2020年MicrosoftとGoogleが、それぞれ1360万ドル（約15億3000万円）と670万ドル（約7億4000万円）の賞金を支払ったのに対して、Facebookが支払ったのは2020年11月時点でわずか198万ドル（約2億2000万円）だった。

一方で、Facebookは若い会社であり、懸賞ハンターたちの目にとまるためのシステム改善に取り組んでいる。最新の進展として、Facebookは7月14日、支払いが報告を受け取ってから30日以上過ぎた場合にボーナス賞金を追加することを発表した。

Payout Time Bonus（支払時期ボーナス）とFacebookが呼ぶその仕組みはスライド制になっており、支払われるまでの期間が30～59日間の場合は5％、60～89日間なら7.5％、90日間以上なら10％のボーナスが追加される。Facebookは基本となる報奨金額を公表していないが、懸賞の最新ラウンドでは、バグ1件あたり最大級の支払額は現在のボーナスプログラムで8万ドル（約880万円）や6万ドル（約660万円）、4万ドル（約440万円）に上った例がある。しかし、賞金は500ドル（約5万5000円）のこともある。

追加の賞金は、バグ報告で暮らしを支えている懸賞ハンターにとって一種のインセンティブになるだろう。Facebookの有効な報告に対するFacebookの支払いが遅れている時、ハンターはより多くの報酬を期待できるので、Facebookでバグ探しをする気が失せることもなくなるかもしれない。

バグ・ハンティングはセキュリティ研究者にとってビッグビジネスになっており、懸賞プログラムで年間100万ドル（約1億1000万円）を稼ぐ人もいる。しかし、賞金稼ぎは諸刃の剣だ。優秀な人材を特定のプラットフォームに集中させることは間違いないが、そうすることで脆弱性を探すのにかける時間が場所によって変わることになりかねない。その結果、大規模プラットフォームは、バグに苦しむ自らの環境を他社と同じく、あるいはより「魅力的」にすることで協力者を増やそうとする結果を招く。

Facebookは、賞金の金額はさまざまな要素に基づいて決めているという。影響度、悪用の容易さ、レポートの質などだ。「賞金を支払う場合、最低金額は500ドルです」と同社は私に話した。

「研究者に支払う報酬は、個々のバグに対する我々の内部調査で見つけた最大の影響の可能性に基づいて決定します。報告された影響度に基づくものではありません。時には我々の調査によって著しく金額が大きくなることもありますが、そのためには時間もかかります。Payout Time Bonusには、このプロセス中にの研究者たちの忍耐に対する報酬という意味もあります」。

「公開されている一連の支払いガイドラインには、外部研究者が当社の支払決定方法を理解するための詳細情報が書かれています。これまでに3種類のガイドラインを発行しており、今後もさらに発行する予定です。

カテゴリー：セキュリティ

タグ：Facebook、バグ、バグバウンティ

画像クレジット：TechCrunch

［原文へ］

（文：Ingrid Lunden、翻訳：Nob Takahashi / facebook ）