直近にも仕様変更を実施したLINEだが、2015年3月に脆弱性(現在は修正版を配信済み)についてのアナウンスを出したのを覚えているだろうか? これを発見したのが2012年設立のセキュリティ会社・スプラウトだ。最近では、スマートロック「Akerun」の脆弱性の発見も同社が行ったという。
同社はセキュリティの調査やコンサルティングを行う一方で、世界のホワイトハッカー(善意のハッカー)をネットワーク化。クライアント企業のバグや脆弱性を発見することで報奨金を付与する「THE ZERO/ONE – Bug Bounty」を展開している。2015年11月から試験的に提供してきたサービスだが、3月2日より、正式にサービスを開始した。
Bug Bountyでは現在、ホワイトハッカー約70人をネットワーク化。彼らがクライアント企業の脆弱性について、定められたルールに基づいて調査を実施。問題が見つかった場合は、対価として報奨金を支払う仕組みだ。
企業側の初期費用は0円。サイトに調査を依頼したいプロダクトや調査対象範囲報奨金などを公開すれば良い。募集方法は現行のプロダクトをそのままないし一部URL・ドメインに限定して調査する「オープン型」や「限定型」、調査用の環境を用意する「疑似環境型」から選択できる。報奨金は脆弱性のリスクや難易度に応じて最低5000円から設定する。同社が目安として設定しているのは、SQLインジェクションの発見で20万円〜、クロスサイト・スクリプティングで5万円〜。スプラウトでは報償額の25%の金額を手数料として徴収する(企業側は報償額の125%をスプラウトに支払うことになる)。
スプラウトでは2015年11月から自社サービスについての調査を実施しているが、これまで計26件の報告があり、そのうち12件が有効なもので、約20万円の報奨金をハッカーに支払ったという。「小さなバクだけなので金額的にはまだ少ないが、(件数として)はまあまあの数字」(スプラウト)。
3月からは百度(バイドゥ)のほか、上場企業を含む計4社の導入が決まっているという。バイドゥといえば2015年11月にもAndroidアプリでトラブルを起こしたばかり。果たしてBug Bountyの導入で変化はあるのだろうか。調査の結果が気になるところだ。