バグ報奨金 | SEO-LPO.net

Instagramはデータ漏洩事件を受けて報奨金制度を拡充

Facebookは、個人情報の不正使用を可能にするバグ発見に対する報奨金制度をInstagramにも適用する。

Instagramの親会社であるFacebookは、Cambridge Analytica（ケンブリッジ・アナリティカ）のスキャンダルをきっかけに、データの不正使用の発見に対する報奨金制度を始めた。そのスキャンダルというのは、数千万人分ものFacebookの個人データが抜き出され、2016年の米大統領選挙で、浮動票をトランプ氏側に有利になるように仕向けるのに利用されたというもの。

この制度の基本は、セキュリティ研究者だけでなくFacebookの一般ユーザーも含め、サードパーティのアプリや、特定の会社が、本来とは異なった目的でFacebookのデータを抜き出し、収集し、あるいは販売していることに気付いたら、それを報告することができるようにするというもの。たとえば、有権者の名簿を作成したり、広範囲なマーケティングの資料を生成したり、といった行為が想定されている。

Cambridge Analyticaによる事件が、世間の注目を集めた後でさえ、Facebookにはユーザーのデータを不正に収集するアプリがあった。

Instagramも例外ではない。Instagramは今月、「信頼していた」マーケティングパートナーを出入り禁止処分とした。その会社が数百万ものユーザーのストーリーや、位置情報、他の数百万のユーザーに関連するデータを抜き出していたことが明らかになったからだ。その結果Instagramは、今後のデータ抜き出しを防ぐため、サービスに変更を加えることを余儀なくされた。これは、今年はじめに起きた他の２つの事件に続いて起きたものだった。１つは、1400万人ぶんにもおよぶInstagramの個人情報が抜き出され、パスワードもかけずに公開状態になっていたデータベース上にさらされているのを、セキュリティ関連の研究者が発見したというもの。そしてもう１つは、別の会社のプラットフォームが、Instagramのインフルエンサーの電子メールアドレスや電話番号を含む個人情報を抜き出していた、というものだった。

昨年Instagramは、Cambridge Analyticaのスキャンダルの余波を受け、プライバシーを保護する姿勢を再確認するため、デベロッパーによるAPIへのアクセス制限を厳しくしている。

InstagramのセキュリティエンジニアリングマネージャーであるDan Gurfinkel（ダン・ガーフィンケル）氏によれば、新たに拡張されたデータの不正利用に関するバグ発見の報奨金制度は、セキュリティ研究者を「その気にさせる」ことを目的としているのだという。

またInstagramは、信頼できるセキュリティ研究者のグループを招待し、Checkout（チェックアウト）サービスを国際的に展開する前に、セキュリティ上の欠陥の発見に努めてもらうつもりだという。もちろん、そこでバグが見つかれば、報奨金が支払われる。

画像クレジット：Jaap Arriens／Getty Images

［原文へ］

（翻訳：Fumihiko Shibata）

アップルがバグ報奨金プログラムを拡大し最大1億円に

Apple（アップル）は、セキュリティー研究者たちが長年望んできたものをようやく提供することになった。macOSのバグ報奨金プログラムだ。

米国時間8月9日に、ITの巨人であるAppleはMac、MacBookおよびApple TV、Apple Watch向けにバグ報奨金プログラムを実施することを発表した。iOS向けバグ報奨金プログラムをスタートしてからちょうど3年後だ。

アイデアはシンプルだ。脆弱性を見つける、Appleに報告する、Appleが修正する。報酬として現金を受け取る。こうしたプログラムは業界では広く行われており、セキュリティー研究者に報奨金を支払うことで、深刻なセキュリティー欠陥が悪意ある者たちに利用されるのを未然に防げる。またこれには、バグの発見者が問題を脆弱性ブローカーに売ったりブラックマーケットに流すのを防ぐ意味もある。

しかしAppleはバグ報奨金プログラムをMacなどの製品向けに実施することに消極的だった。セキュリティー研究者の中には、報奨金制度がないからAppleにはセキュリティー欠陥を報告しないという人たちもいる。

ラスベガスで行われたBlack Hatカンファレンスで、Appleのセキュリティー技術・アーキテクチャー責任者のIvan Krstić（イヴァン・クリスティク）氏は、iOSに続いて今回のバグ報奨金プログラムを行うことを発表した。

セキュリティー専門家で、Jamfの主任セキュリティー研究員であるPatrick Wardle（パトリック・ワードル）氏は、今回の行動を「当然のこと」だと語った。

ワードル氏はいくつかの重要なセキュリティー脆弱性を発見し、企業に対応する時間を与えることなくリリース直前に公開するとともに、macOSにバグ報奨金プログラムがないことを指摘した。同氏はAppleがバグ報奨制度を持たないことを長年批判しており、セキュリティー研究者が欠陥をブローカーに売る機会を与えていることを非難してきた

「Appleには驚くほど有能な研究者やセキュリティー専門家がいるが、外部の独立研究者と透明で相互に有益な関係を持ったことはない」とワードル氏は言う。

「これはAppleにとっての勝利であることはもちろんだが、究極的にはAppleのエンドユーザーにとっての巨大な勝利だ」と付け加えた。

Appleは、このバグ報奨金プログラムを全研究者に向けて開放し、報奨金も現在の脆弱性1件につき最高20万ドルから、100万ドルに引き上げる。

さらにAppleは、一般公開前のプレスリリースビルドの脆弱性を見つけた研究者には、通常の報奨金に加えて最大50%のボーナスを与えるとも言った。

バグ報奨金プログラムは全セキュリティー研究者を対象に今年中に実施される。

またAppleは、今週米国で発売されたForbes誌に掲載された、退役軍人および信頼できるセキュリティー研究者およびハッカーたちに対して、新たなiOSセキュリティー研究用端末プログラムの元で大量の「dev」iPhoneを配布するという記事の内容を正式に認めた。これは特別なデバイスで、セキュアーシェルなどのように、一般のセキュリティー研究者は利用できないシステムやオペレーティングシステムのさまざまな機能をを利用できる。

Appleは、バグ報奨金プログラムを拡大することで、さらに多くの研究者に問題の発見を促し、顧客の安全性を高められることを期待していると言った。

[原文へ]

（翻訳：Nob Takahashi / facebook

Appleが待ち望まれていたバグ報奨金プログラムを開始

ハイテク企業たちは私たちにとって最も個人的な情報への鍵を握っている。給与の支払明細、健康の履歴、恋人とのチャットのログ、そして家族の写真アーカイブ。私たちがプライベートデータを渡せば渡すほど、データを安全に保存することによって企業が私たちの信頼を得ていくことがますます重要になっていく。

過去5年間で、ほとんどの主要なハイテク企業は、ハッカーからの脆弱性の報告を歓迎し現金でそれに報いる形のバグ報奨金プログラムを制定している。独自の報奨金プログラムを実行するための専門知識を持っていない企業は、外部の企業にこの重要なセキュリティの仕事を委託している。

しかし何年もの間、Appleはこの制度の導入を拒んでいた。セキュリティは企業物語の重要な一部をなしているが、Appleはこれまで無言のうちにバグへの報奨金支払を拒み、しばしばセキュリティ研究者をフラストレーションに晒して、欠陥をAppleに報告することを難しくしてしまっていた。しかしそれも今日変わった。Appleにおけるセキュリティエンジニアリングとアーキテクチャの長であるIvan Krsticが、最先端セキュリティ国際会議Black Hatの参加者に対して、Appleは製品に脆弱性を見つけた研究者に対して最高20万ドルまでの報奨金を支払うことを発表したのだ。

このKrsticの発表は、セキュリティアーキテクチャの周りに張り巡らせた秘密の扉を、Apple製品のセキュリティ向上に役立とうと考えるハッカーのコミュニティや研究者、暗号学者たちに開こうとしているAppleの努力の一環である。Black HatにおけるKrstic自身の講演も、HomeKit、AutoUnlock、そしてiCloudキーチェーンのセキュリティ機能について触れた、Appleとしては幾分珍しい種類のものだった。同社の代表がBlack Hatで話したのは4年ぶりのことで、通常ならAppleはセキュリティ関連のアナウンスを自身の会議であるWWDCで行うものだった。

「過去のAppleは、研究者たちとはあまり良い関係を結んでいませんでした」と述べるのは、SecurosisのCEOで、iOSのセキュリティを追い続けているアナリストでもあるRich Mogullである。「過去10年間で多くのことが変化して、より良い状態になって来ています」。バグ報奨金プログラムは正しい方向への一歩だと彼は述べた。

これまでAppleは、報奨金を出さない理由の一つとして、政府やブラックマーケットが支払う高い報酬の存在を挙げて来た。理屈はこうである：もしもっと高い金額を払ってくれる買い手が別にいるなら、どうしてこちらにわざわざ売ろうとするだろうか？確かに20万ドルはかなりの報酬で、企業が提供するバグ報奨金プログラムとしては最高額の1つだが、研究者が捜査機関やブラックマーケットから支払われる可能性のある金額に打ち勝つほどではない。例えば昨年12月にカリフォルニア州サンバーナディーノで起きた銃乱射事件に関わったサイード・ファルーク容疑者のiPhoneに侵入するために、FBIは噂によれば、ほぼ100万ドルを支払ったらしい。

バグ報奨金プログラムが、巨額の支払いを得ることにのみ関心があるハッカーを魅了することはほとんどない。現金のみが気になる相手が満足できる額をAppleが支払うことはないだろうとMongullは語った。しかし、世の中に対するインパクトを重んじる者にとっては、Appleからの小切手の持つ意味は全く違ってくる。「これは善い仕事を奨励するためのものです」とMogullは説明する。

Apple製品をクラックするために雇われた、Apple自身の侵入テスト担当者たちからの報告にも影響を受けて、Appleの幹部の考え方は変わった。脆弱性を発見することは、社内テスターであるか外部の研究者であるかを問わず、より困難になって来ているため、もはやバグ報告のためにより多くのインセンティブを提供すべき時なのだとAppleは語っているのだ。

「Appleは明らかに、内部では膨大な時間を使い、最も優秀な者を投入して努力をしてきました。それでも『脆弱性の発見はますます難しくなって来ている』という声が上がっているのです、彼らは『セキュリティへの対応をさらに推し進めたいという願いのためには、壁を乗り越えて外へ広げることが大切だ』と言っています」こう話すのはコンシューマーテクノロジーの研究者Ben Bajarinだ。「これは、彼らがこれまでやってきたセキュリティ作業の拡張です」。

脆弱性の発見と侵入が困難になるにつれ、Appleは研究者たちに、より深い仕事をしてもらうための奨励手段の必要性を感じている。研究者への開放は成果につながることが多い、と語るのはバグ報奨金プログラムHackerOneの共同創設者であるAlex Riceだ。

「バグ報奨金プログラムを開始して、それまで知らなかった脆弱性を発見できなかった会社はありません」とRiceは語る。「バグ報奨金プログラムを始めると、簡単な脆弱性は全て取り除かれ、ベストプラクティスに従うことになります。しかしそれでは十分でないことも彼らは知っています」。

Appleの招待者限定のバグ報奨金プログラムは、これまで同社に対して貴重な脆弱性の情報を報告した研究者に対してのみ適用される。このバグ報奨金プログラムの計画段階でAppleは他の企業に意見を求め、もし報奨金システムを一般向けのものにすると、大量のレポートの処理がリスクの高い脆弱性を埋もれさせてしまうだろうと結論付けたからである。

とはいえ、Appleは有益な情報を伝えてくれる新しい研究者に背を向けるつもりではなく、徐々にプログラムを拡大する予定だ。

9月に始まるプログラムは、リスクと報酬に応じて5つのカテゴリーに分かれている：

セキュアブートファームウェアコンポーネントの脆弱性：20万ドルまで
Secure Enclave（チップ内部のセキュリティ領域）から機密情報の抽出を可能にする脆弱性：10万ドルまで
カーネル権限による任意または悪意のあるコードの実行：5万ドルまで
Appleのサーバ上のiCloudアカウントのデータへのアクセス：5万ドルまで
サンドボックス外のユーザデータへの、サンドボックスプロセスからのアクセス：2万5000ドルまで

報奨金受領の資格を得るためには、研究者は最新のiOSとハードウェア上で証拠を示す必要がある。脆弱性のそれぞれのカテゴリの最高額は示されたものまでだが、Appleは正確な報奨金の額を様々な要素を勘案して決定する。脆弱性レポートの明晰性、問題の新規性と利用者の遭遇確率、そして脆弱性につけ込むために必要な手順の複雑さの程度などだ。

更に珍しい試みだが、Appleは研究者たちが報奨金を慈善団体へ寄付することを奨励する手段を計画している。Appleが研究者の選択した団体を承認した場合、Appleが同額を更に拠出するというものだ – つまり20万ドルの報奨金が40万ドルになるのである。

[ 原文へ ]
（翻訳：Sako）