Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待

Cloud Native Computing Foundation(CNCF)が米国時間1月14日、Kubernetesの初めてのバグ褒賞金事業(bug bounty)を発表した。Kubernetesは、最初Googleが作ったコンテナオーケストレーションシステムで、現在、至るところで使われている。このバグ褒賞金制度はCNCFとGoogleとHackerOneが共同で運営し、賞金額は100ドル(約1万1000円)から最高1万ドル(約110万円)までとなっている。

KubernetesにはすでにProduct Security Committee(セキュリティ委員会)があり、Google自身のKubernetesセキュリティチームが委員になっている。もちろん実際にコードをチェックするのは、外部も含めもっと多くの人びとだ。褒賞金制度ではもっと多くの新たなセキュリティの研究者の参加が期待されており、コードを調べ、バグ調査など行っている人を報いるものになっている。

Googleでコンテナのセキュリティを担当しているプロダクトマネージャーMaya Kaczorowski(マヤ・カツォロフスキ)氏は「Kubernetesにはすでに強力なセキュリティチームとセキュリティへの対応能力があり、最近のKubernetesセキュリティ監査によってそれはさらに強化されている。現在のKubernetesは、過去に例がないほど強力で安全なオープンソースプロジェクトだ。バグ褒賞金制度が立ち上がったことで、セキュリティに対する実践力が上がり、また、すでにバグの検出という重要な仕事をしている研究者たちに報いることができる。今後はもっと多くのセキュリティ研究者が参加して、コードを見る目が増えることを期待したい。Kubernetesのセキュリティ問題の洗い出しとバグ発見活動のバックアップに、財政的支援が加わったことになる」と言う。

褒賞金の対象は、GitHubのリポジトリにあるKubernetesの主要部位すべてだ。チームが特に重視しているのは、認証関連のバグと、故意や不故意による特権(プリビレッジ)のアップ、そしてkubeletやAPIサーバーのリモートコード実行バグだ。CNCFが特に強調するのは、研究者たちがKubernetesのサプライチェーンの全体をよく見ること。この事業と制度の詳細は、ここで確認できる。

関連記事: How Kubernetes came to rule the world…Kubernetesはどうやって世界を支配したのか(未訳、有料記事)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Google、Androidの人気アプリのバグ発見者に1000ドルを進呈

詳細はまだ不明だが、GoogleのPlaytimeデベロッパーイベントで今日午前に流れたニュースによると、GoogleはGoogle Playバグ発見懸賞プログラムを実施し、Androidの人気アプリ(Google製もサードパーティー製もある)をいじって脆弱性を見つけるよう研究者たちを誘っている。

“Google Play Security Reward” と呼ばれるこのプログラムは、研究者がAndroidアプリ開発者と直接協力して脆弱性を見つけることを目的としている。開発者のバグ潰しに協力すればGoogleが1000ドル支払う(ほかにサードパーティー開発者自身が支払う場合もある)。

現在までに分かっている内容は以下の通り:

  • 対象は一部のAndroidアプリのみで、〈全〉アプリではない。現在リストに挙がっているのはAlibana、Dropbox、Duolingo、Headspace、LINE、Snapshot、Tinder、およびGoogle PlayにあるGoogle製Androidアプリの全部。
  • 現在プログラムの対象アプリは招待制だが、将来は門戸を広げる予定。Google広報によるとオプトイン方式になる。
  • 研究者はアプリ開発者と直接連絡を取って脆弱性の確認/解消に努める。バグが修正されたら研究者がGoogleに通知すると、バグを確認のうえ1000ドルの報奨金が支払われる。Googleは修正前のバグは知りたくない。「プログラムはアプリ開発者と協力して脆弱性が解決したときにボーナスを要求するためだけに存在している」と説明書に書かれている。
  • ほとんどのバグ懸賞プログラムと同じく、Googleは具体的にいくつかの厄介なタイプの問題に絞って見付けようとしている。「このアイコンはおかしい」的なものではない。現在の調査対象は、任意のコードを強制的にダウンロード/実行させるアプリ、アプリのUIを操作して取引を行わせたり(例えば銀行アプリがユーザーの許可なく送金する)アプリにフィッシングサイトを開かせるアプリなど。

Googleはこのプログラムのバックエンドの大半をHackerOneに依頼しており、レポートの発行から善意のハッカーの招待まで受け持つ。詳細はこちらで読める。

Googleは、ChromeとAndroidを含めたバグ懸賞プログラム全体で、2017年1月までに900万ドル支払っている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Google、ChromeOSバグ探し懸賞の最高賞金を10万ドルに倍増

acerchromebook11

2015年にセキュリティー賞金稼ぎに200万ドルを支払ったGoogleは今日(米国時間3/14)、重大なセキュリティー欠陥を発見した場合の報酬を倍増し、最大報奨金額を5万ドルから10万ドルに引き上げた。

Googleは、Chormeのセキュリティーに極めて真剣に取り組んでおり、Chomebook、Chromeブラウザー、およびChrome OSの脆弱性を見つけたハッカーを対象に、バグ探し報奨金を2010年から設定している。

昨年Googleは200万ドル以上のセキュリティー報奨金をハッカーに支払った。

昨年Googleは200万ドル以上のセキュリティー報奨金をハッカーに支払った。

Chromeオペレーティングシステムは、Mac OSやWindowsのようには成功していないが、学校でニッチを見つけた。その段階的な成長と低価格、およびターゲットユーザーが、このOSに独自のポジションを与えた。
ChromebookノートPCを最低150ドルから提供することで、プラットフォームは新興国や初回コンピュータ購入者にとって理想的な低価格の選択肢になった。その結果Chromebookは、伝統的に必ずしもセキュリティーに気を配らない人たちの人気を獲得することとなり、ChromeOSのセキュリティーを適切なものにすることは、いっそう重要になった ― 中でも報奨プログラムは鍵となる部分だ。

報奨プログラムで引き上げられた最高賞金の対象は、「ゲストモードでのChromebookの恒久的侵害」。言い換えると、ゲストモードでハックされたChromebookが、リブート後もハック状態であり続けることだ。

Googleは、金額が5万ドルだった時に、この賞金を支払ったことはないが、対象を説明する文言から、Googleがこの種の障害を優先的に防ごうとしていることが見てとれる。会社はゼロデイ攻撃を未然に防ぎたいのだ。Googleは最も悪質な浸害に対して賞金を10万ドルに上げることでハッカーたちを引きつけ、悪の手に脆弱性を利用されることなく、Chromeチームが問題を解決できることを間違いなく願っている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Twitter、HackerOneを通じてバグ探し懸賞プログラムを開始

多くのオンラインサービスの信頼を揺るがせたセキュリティー侵害事件を受け、Twitterは今日(米国時間9/3)、バグ探し懸賞プログラムを立ち上げることを発表した。これは、セキュリティー侵害を責任を持って報告したセキュリティー研究者に報奨金を支払うもので、バグ探し懸賞プログラム提供会社のHackerOneを通じて実施される。Twitterは、Twitter.com、ads.twitter、モバイル版Twitter、TweetDeck、apps.twitter、および同サービスのiOSとAndroidのアプリに関するバグ報告1件につき最低140ドルを支払う。Twitterは、実際には3ヵ月前からHackerOneと作業していたことが、HackerOneのバグ・タイムラインに書かれているが、Appleのセレブ写真流出事件によってサイバーセキュリティーが一躍世間の関心を呼ぶ中、Twitterは、同社がユーザーの安全を真剣に考えていることを示したかったものと思われる。

Twitterは、「セキュリティー研究者たちの努力と、利用者全員のためにTwitterの安全を維持することにおける彼らの重要性を評価するために、当社は一定のセキュリティー脆弱性の発見に対して報奨金を提供することにした」と語った。既に同プログラムには、44人のハッカーが参加し、Twitterは46件のバグを修正している。

一部の主要企業、例えばFacebookは独自の懸賞プログラムを実施しているが、HackerOneでは、プログラム管理の手間をかけずに、クラウドソースによるバグ探しの恩恵を受けたい会社のために、パッケージソリューションを提供している。他にHackerOneを利用している会社には、Yahoo、Square、MailChimp、Slack、Coinbaseがある。HackerOneは最近900万ドルを調達し、製品の拡張と販売強化を進めている。HackerOneは、元Facebookのセキュリティーチームのメンバーで、自社運営による懸賞付バグ探しプログラムを指揮して多数の脅威から会社を救った、Alex Riceらが共同設立した。

比較してみると、Twitterの最低報賞金額は、Yahooの50ドルや、Slackの100ドルよりも高いが、Coinbaseの1000ドル、Squareの250ドル、さらにはFacebookの社内プログラムが提供する500ドル等と比べるとかなり少ない。

今週のiCloudセレブ写真ハック以降、外部のセキュリティー機構ともっと密に作業すべきだとAppleを非難する声が出ている。しかし、Appleは昨日、強固なパスワードを使ったり、追加の保護対策をとらなかったとして、ユーザーに責任を転嫁した。実際にはAppleは、VUPENを通じて独立セキュリティー専門家の協力を仰いでいるが、もっとオープンなプログラムを実施していれば、ジェニファー・ロレンスをはじめとする、有名人のiCloudアカウントを不正アクセスするために利用された戦術のいくつかは、事前に突き止められていたのではないかという意見もある。おそらく今回のTwitterの行動は、セキュリティー向上のためにコミュニティーを活用する方法について、Appleに再考を促すことになるだろう。

[画像提供:Screenrant via Star Wars

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleのバグ発見謝礼制度の累積支払い賞金額が200万ドルを突破, 賞金額増額へ

Googleのバグ発見報奨制度は、今日の同社の発表によると、これまでの報奨金提供額の総額が200万ドルを突破した。この事業がスタートしたのは3年前だが、これまでの報奨の対象となったバグ報告は、Chromiumと同社のWebアプリケーションにおける2000件あまりのセキュリティ関連バグだ。200万ドルのうち約100万ドルがChromiumのバグ発見者へ、残る100万ドルがWebアプリケーションのバグを見つけた者へ行った。

今日の発表と合わせて同社は、一部の賞金額を大幅に上げた。“これまで賞金額1000ドルとされたバグは、今後は、最大5000ドルまでとする”、とGoogleの金庫番Chris EvansとAdam Meinが今日の発表声明で書いている。また賞金の最高額は最大1万ドルに引き上げられ、それはバグの性質を特定せずGoogleがケースバイケースで決める。さらに、バグ報告とともにそのパッチを提供した者は、賞金が増額される

今日の発表の前には、Web脆弱性発見報奨金事業でも同様の増額が行われ、クロスサイトスクリプティングバグは7500ドル、GmailとGoogle Walletのバグおよび認証バイパスバグは5000ドルとなった。Webアプリケーションのバグ報告の賞金の最低レベルは500ドルから3133.7ドルに上がった。

たしかに、バグ報告はお金になる。Facebookも1週間前に、同様の発表を行った。同社がこれまで支払った賞金総額は、100万ドルあまりだそうだ。長年この種の事業に抵抗を示していたMicrosoftも最近ついに折れて、賞金上限額10万ドルの報奨制度を発足させた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))