ハッカーと企業をつなぐHackerOneが39億円調達、調達総額は117億円に

HackerOneはサンフランシスコに拠点を置く創業7年になる会社で、自社のネット脆弱性をテストしたい企業とハッカーとの間を取り持つのが仕事だ。このたびシリーズD調達ラウンドで3640万ドル(約39億円)を獲得し、総調達額を1億1000万ドル(約117.5億円)とした。

ラウンドをリードしたのはValor Equity Partnersで、ほかにBenchmark、New Enterprise Associates、Dragoneer Investment Groupt、EQT Venturesらの既存投資家も参加した。

現在同社には1500社以上の顧客がいて、重大なセキュリティー欠陥を見つけて、悪意のある者たちがつけ込む前に対処できるよう情報を提供している。利用企業には、Google、Intel、Alibaba、General Motorsらのほか米国国防省も名を連ねている。

先月TechCrunchが報じたように、HackerOneはFacebookおよび仮想通貨リブラプロジェクトのパートナーらとも共同作業をしており、具体的には新しいブロックチェーン上に構築されたアプリケーションのバグ懸賞プログラム実施する。

データ侵害はあらゆる業種で日常的な出来事になってきた。多くの場合は支払いシステムの欠陥によるものだが、単なる「サイバー衛生管理」の不備が原因のこともある。こうした時代にあって、HackerOneがSynackBugCrowdなどのライバル会社と共にこれまで以上に多くの会社にとって重要な存在になっているのは当然だ。

攻撃の対象が増えるにつれ、ハッカーが得られる懸賞金も増えつつある。報酬はクライアント毎に決められるが、複雑な問題ほど報酬が高くなるのがふつうであり、昨年HackerOneが重大な障害に対して支払った懸賞金額の平均は3384ドルで、前年より48%多かった。

同社によると、HackerOneに登録しているハッカーの中には、これまでに合計100万ドル以上の懸賞を獲得した人が6人いる。その一人目であるアルゼンチン在住の19歳の独学ハッカーは、今年3月にHackerOneで初めて100万ドル以上の懸賞金を手にした。彼は1670件以上の脆弱性をVerizon Media Company、Twitter、WordPressの親会社であるAutomatticなどの企業に報告した。

その後5人のハッカーが100万ドルクラブ入りしたとHackerOneは言っている。

HackerOneは、数十万人の個人と共に顧客にサービスを提供している。昨年開催されたイベントでHackerOneのCEO Marten Mickos氏は、かなりの数のティーンエージャーが参加していることを示唆した。当時Mickos氏は次のように述べた:「一緒に仕事をしているハッカーの中にはティーンエージャーの男女もいて、これで生活が変わったというメールももらった。母親に住居を買ったり、自分のためにオートバイを買った人もいる。彼らはHackerOneのスウェットを着てソーシャルメディアに登場する。それがアイデンティティーなのだ。我々は大人が台なしにしているこの世界でこうした若者たちが立ち上がるのを見られるのは素晴らしいことだ」

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebookが仮想通貨「リブラ」のバグ懸賞プログラムをHackerOneと準備中

仮想通貨Libra(リブラ)のプロジェクトを進めているFacebookとそのパートナーらは、Libraのブロックチェーン上に作られたアプリケーションのバグ検証プログラムをHackerOneと協力して実施することを発表した。

この発表は、規制当局がLibraの合法性と世界金融システムに与える脅威を評価する間、プロジェクトを中止するよう同社に要求している中で行われた。

関連記事:Congressional testimony reveals some faults in Facebook’s digital currency plans(未訳)

中止要求にもひるむことなく、Facebookとプロジェクトのパートナーたちは、世界金融システムを全面改造することの責任をいかに真剣に捉えているかを示す証拠として、バグ懸賞プログラムを実施しようとしている。

プロジェクトでは、テスト用ネットワーク上で開発されたコードの欠陥を見つけたセキュリティー専門家に賞金最大1万ドルを提供する。

「我々はこのバグ懸賞プログラムを今、Libraのブロックチェーンが公開されるよりずっと早く開始する。世界中の人々がLibraを日々の財務ニーズに使えることがわれわれの願いなので、システム基盤は安全かつ信頼できる必要がある、とLibra Associationのポリシー・コミュニケーション責任者であるDante Disparte(ダンテ・ディスパート)氏が声明で語った。「Libraのブロックチェーンはまだテストネットワーク上にあり、初期段階のバージョンであって最終版とは大きく異なることに留意されたい。われわれは今後時間をかけて適切なシステムを運用することに責任を持って取り組んでいく所存であり、規制面の課題が解決し当局の承認を得られるまでLibraブロックチェーンを公開するつもりはない」。

しかし、承認を得ることはおろか、商用レベルにも達していないテスト段階のシステム向けにバグ懸賞プログラムを実施することは、時期尚早である可能性もある。何人かのプロジェクト関係者がLibraはまだ公開されていないことを強調した。

「Libraの正式公開に向けて、これはLibra Associationがセキュリティーに積極的に取り組んでいることを示す重要なステップだ」とブロックチェーン基盤サービス・プロバイダーで、Libra AssociationのパートナーでもあるBison Trailsの最高技術責任者、Aaron Henshaw(アーロン・ヘンショウ)氏が語った。

今回の行動を過剰な警戒と見る向きもある。あるいは、開始することすら保証されていないシステムのセキュリティーに対する大衆や当局の不安を鎮めるためのスタンドプレイだと指摘する向きもある。

Libra Associationの広報担当者は、Libraのテスト用ネットワークで現在いくつのプロジェクトが動作しているかについても語っていない。

FacebookとLibra Associationのパートナーたちは、バグ懸賞プログラムより、自分たちのプロジェクトが政府や世界金融システムに与えかねないバグの心配をしたほうがいいかもしれない。

関連記事:Libraはスイスの規制下に入るとFacebookが米国議会で証言予定

[原文へ]

(翻訳:Nob Takahashi / facebook

Tesla、 世界最強のハッキングコンテスト「Pwn2Own」にModel 3をエントリー

Teslaは最新のModel 3セダンを今年のPwn2Ownにエントリーする。この毎年恒例の著名なハッキングコンテストに自動車が参加するのははじめてだ。

優勝したセキュリティー研究者に与えられる賞品は…Model 3だ。

Pwn2OwnはTrend MicroのZero Day Initiative(ZDI)が主催する今年で12回目になる業界最強のハッキングコンテストだ。ZDIはこれまでにこのプログラムを通じて400万ドル以上の賞金を提供してきた。

春の脆弱性研究コンテストPwn2Own Vacouverは、3月20~22日に開催され、ウェブブラウザー、バーチャル化ソフトウエア、エンタープライズアプリケーション、サーバーサイド・ソフトウェア、および新設された自動車部門の5部門からなる。ターゲットはZDIが選び、Apple、Google、Microsoft、Mozilla、Oracle、VMwareなどのソフトウェア製品も含まれている。そして、もちろん、Teslaも。Pwn2Ownは、CanSec Westカンファレンスと同時開催される。

Teslaは2014年に同社がバグ懸賞プログラムを開催して以来ハッカーコミュニティーとは公な関係がある。

昨年同社は最大報酬額を1万ドルから1万5000ドルに引き上げ、エネルギー製品も対象に含めた。現在はTeslaの自動車およびホストしているサーバー、サービス、アプリケーションなどすべてが懸賞プログラムのターゲットになっている。

昨年同社はバグ懸賞プログラムに重要な変更を加え、車のオーナーがルールの範囲内で自分の車をハックすることを許可する「セーフハーバー」を採用した。現在Tesla製品のセキュリティー・ポリシーには、「善意のセキュリティー研究」の結果、所有する車が文鎮化した場合、サーバーセンターからネットワーク経由でソフトウェアを再書き込みすると書かれている。ソフトウェアをハックした場合も保証は無効にならないと同社は言っている。

Tesla(今は他の自動車メーカーも)がバグ懸賞プログラムを始めたのには理由がある。Tesla車はソフトウェア主導であり、ネットワーク経由のソフトウェア・アップデートによってバグやセキュリティー問題を修正したり、性能改善や新機能追加などを行うなどさまざまな形で業界を変えてきた。そうすることでTeslaは、時間とともに車が良くなっていくというアイデアを消費者に理解させた。

しかしそこには潜在的なセキュリティー問題がある。2014年以来、懸賞プログラムがきっかけとなってTeslaはいくつものセキュリティーアップデートを発行し、暗号化によるソフトウェアの検証、キーリモコンの暗号化の強化、リモコンのクローン攻撃を防止するためのPIN-to-Drive[暗証番号による解錠]などを実施してきた。

もちろん、Pwn2Own Vancouverに参加するハッカーたちが脆弱性を見つけるという保証はない。TechCrunchはTrend Microの広報担当から、ハッキング成功のパーセンテージはまちまちだが、通常は対象ターゲットの50%前後だと言われている。

また、自動車カテゴリーは今年が初めてなので、参加する研究者がいるかどうかは不明だと広報担当者は言っている。担当者は「自動車の最先端研究がどんなものかを見るのが大いに楽しみ」なので、多くの参加を期待しているとも話した。

[原文へ]

(翻訳:Nob Takahashi / facebook