Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待

Cloud Native Computing Foundation(CNCF)が米国時間1月14日、Kubernetesの初めてのバグ褒賞金事業(bug bounty)を発表した。Kubernetesは、最初Googleが作ったコンテナオーケストレーションシステムで、現在、至るところで使われている。このバグ褒賞金制度はCNCFとGoogleとHackerOneが共同で運営し、賞金額は100ドル(約1万1000円)から最高1万ドル(約110万円)までとなっている。

KubernetesにはすでにProduct Security Committee(セキュリティ委員会)があり、Google自身のKubernetesセキュリティチームが委員になっている。もちろん実際にコードをチェックするのは、外部も含めもっと多くの人びとだ。褒賞金制度ではもっと多くの新たなセキュリティの研究者の参加が期待されており、コードを調べ、バグ調査など行っている人を報いるものになっている。

Googleでコンテナのセキュリティを担当しているプロダクトマネージャーMaya Kaczorowski(マヤ・カツォロフスキ)氏は「Kubernetesにはすでに強力なセキュリティチームとセキュリティへの対応能力があり、最近のKubernetesセキュリティ監査によってそれはさらに強化されている。現在のKubernetesは、過去に例がないほど強力で安全なオープンソースプロジェクトだ。バグ褒賞金制度が立ち上がったことで、セキュリティに対する実践力が上がり、また、すでにバグの検出という重要な仕事をしている研究者たちに報いることができる。今後はもっと多くのセキュリティ研究者が参加して、コードを見る目が増えることを期待したい。Kubernetesのセキュリティ問題の洗い出しとバグ発見活動のバックアップに、財政的支援が加わったことになる」と言う。

褒賞金の対象は、GitHubのリポジトリにあるKubernetesの主要部位すべてだ。チームが特に重視しているのは、認証関連のバグと、故意や不故意による特権(プリビレッジ)のアップ、そしてkubeletやAPIサーバーのリモートコード実行バグだ。CNCFが特に強調するのは、研究者たちがKubernetesのサプライチェーンの全体をよく見ること。この事業と制度の詳細は、ここで確認できる。

関連記事: How Kubernetes came to rule the world…Kubernetesはどうやって世界を支配したのか(未訳、有料記事)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

ハッカーと企業をつなぐHackerOneが39億円調達、調達総額は117億円に

HackerOneはサンフランシスコに拠点を置く創業7年になる会社で、自社のネット脆弱性をテストしたい企業とハッカーとの間を取り持つのが仕事だ。このたびシリーズD調達ラウンドで3640万ドル(約39億円)を獲得し、総調達額を1億1000万ドル(約117.5億円)とした。

ラウンドをリードしたのはValor Equity Partnersで、ほかにBenchmark、New Enterprise Associates、Dragoneer Investment Groupt、EQT Venturesらの既存投資家も参加した。

現在同社には1500社以上の顧客がいて、重大なセキュリティー欠陥を見つけて、悪意のある者たちがつけ込む前に対処できるよう情報を提供している。利用企業には、Google、Intel、Alibaba、General Motorsらのほか米国国防省も名を連ねている。

先月TechCrunchが報じたように、HackerOneはFacebookおよび仮想通貨リブラプロジェクトのパートナーらとも共同作業をしており、具体的には新しいブロックチェーン上に構築されたアプリケーションのバグ懸賞プログラム実施する。

データ侵害はあらゆる業種で日常的な出来事になってきた。多くの場合は支払いシステムの欠陥によるものだが、単なる「サイバー衛生管理」の不備が原因のこともある。こうした時代にあって、HackerOneがSynackBugCrowdなどのライバル会社と共にこれまで以上に多くの会社にとって重要な存在になっているのは当然だ。

攻撃の対象が増えるにつれ、ハッカーが得られる懸賞金も増えつつある。報酬はクライアント毎に決められるが、複雑な問題ほど報酬が高くなるのがふつうであり、昨年HackerOneが重大な障害に対して支払った懸賞金額の平均は3384ドルで、前年より48%多かった。

同社によると、HackerOneに登録しているハッカーの中には、これまでに合計100万ドル以上の懸賞を獲得した人が6人いる。その一人目であるアルゼンチン在住の19歳の独学ハッカーは、今年3月にHackerOneで初めて100万ドル以上の懸賞金を手にした。彼は1670件以上の脆弱性をVerizon Media Company、Twitter、WordPressの親会社であるAutomatticなどの企業に報告した。

その後5人のハッカーが100万ドルクラブ入りしたとHackerOneは言っている。

HackerOneは、数十万人の個人と共に顧客にサービスを提供している。昨年開催されたイベントでHackerOneのCEO Marten Mickos氏は、かなりの数のティーンエージャーが参加していることを示唆した。当時Mickos氏は次のように述べた:「一緒に仕事をしているハッカーの中にはティーンエージャーの男女もいて、これで生活が変わったというメールももらった。母親に住居を買ったり、自分のためにオートバイを買った人もいる。彼らはHackerOneのスウェットを着てソーシャルメディアに登場する。それがアイデンティティーなのだ。我々は大人が台なしにしているこの世界でこうした若者たちが立ち上がるのを見られるのは素晴らしいことだ」

[原文へ]

(翻訳:Nob Takahashi / facebook

Twitter、HackerOneを通じてバグ探し懸賞プログラムを開始

多くのオンラインサービスの信頼を揺るがせたセキュリティー侵害事件を受け、Twitterは今日(米国時間9/3)、バグ探し懸賞プログラムを立ち上げることを発表した。これは、セキュリティー侵害を責任を持って報告したセキュリティー研究者に報奨金を支払うもので、バグ探し懸賞プログラム提供会社のHackerOneを通じて実施される。Twitterは、Twitter.com、ads.twitter、モバイル版Twitter、TweetDeck、apps.twitter、および同サービスのiOSとAndroidのアプリに関するバグ報告1件につき最低140ドルを支払う。Twitterは、実際には3ヵ月前からHackerOneと作業していたことが、HackerOneのバグ・タイムラインに書かれているが、Appleのセレブ写真流出事件によってサイバーセキュリティーが一躍世間の関心を呼ぶ中、Twitterは、同社がユーザーの安全を真剣に考えていることを示したかったものと思われる。

Twitterは、「セキュリティー研究者たちの努力と、利用者全員のためにTwitterの安全を維持することにおける彼らの重要性を評価するために、当社は一定のセキュリティー脆弱性の発見に対して報奨金を提供することにした」と語った。既に同プログラムには、44人のハッカーが参加し、Twitterは46件のバグを修正している。

一部の主要企業、例えばFacebookは独自の懸賞プログラムを実施しているが、HackerOneでは、プログラム管理の手間をかけずに、クラウドソースによるバグ探しの恩恵を受けたい会社のために、パッケージソリューションを提供している。他にHackerOneを利用している会社には、Yahoo、Square、MailChimp、Slack、Coinbaseがある。HackerOneは最近900万ドルを調達し、製品の拡張と販売強化を進めている。HackerOneは、元Facebookのセキュリティーチームのメンバーで、自社運営による懸賞付バグ探しプログラムを指揮して多数の脅威から会社を救った、Alex Riceらが共同設立した。

比較してみると、Twitterの最低報賞金額は、Yahooの50ドルや、Slackの100ドルよりも高いが、Coinbaseの1000ドル、Squareの250ドル、さらにはFacebookの社内プログラムが提供する500ドル等と比べるとかなり少ない。

今週のiCloudセレブ写真ハック以降、外部のセキュリティー機構ともっと密に作業すべきだとAppleを非難する声が出ている。しかし、Appleは昨日、強固なパスワードを使ったり、追加の保護対策をとらなかったとして、ユーザーに責任を転嫁した。実際にはAppleは、VUPENを通じて独立セキュリティー専門家の協力を仰いでいるが、もっとオープンなプログラムを実施していれば、ジェニファー・ロレンスをはじめとする、有名人のiCloudアカウントを不正アクセスするために利用された戦術のいくつかは、事前に突き止められていたのではないかという意見もある。おそらく今回のTwitterの行動は、セキュリティー向上のためにコミュニティーを活用する方法について、Appleに再考を促すことになるだろう。

[画像提供:Screenrant via Star Wars

[原文へ]

(翻訳:Nob Takahashi / facebook