ことバグ探し懸賞に関して、Facebook(フェイスブック)はMicrosoft(マイクロソフト)やGoogle(グーグル)と比べて、報奨金の支払額においても受け取ったバグ報告の数においても遅れを取っている。2020年MicrosoftとGoogleが、それぞれ1360万ドル(約15億3000万円)と670万ドル(約7億4000万円)の賞金を支払ったのに対して、Facebookが支払ったのは2020年11月時点でわずか198万ドル(約2億2000万円)だった。
一方で、Facebookは若い会社であり、懸賞ハンターたちの目にとまるためのシステム改善に取り組んでいる。最新の進展として、Facebookは7月14日、支払いが報告を受け取ってから30日以上過ぎた場合にボーナス賞金を追加することを発表した。
Payout Time Bonus(支払時期ボーナス)とFacebookが呼ぶその仕組みはスライド制になっており、支払われるまでの期間が30~59日間の場合は5%、60~89日間なら7.5%、90日間以上なら10%のボーナスが追加される。Facebookは基本となる報奨金額を公表していないが、懸賞の最新ラウンドでは、バグ1件あたり最大級の支払額は現在のボーナスプログラムで8万ドル(約880万円)や6万ドル(約660万円)、4万ドル(約440万円)に上った例がある。しかし、賞金は500ドル(約5万5000円)のこともある。
追加の賞金は、バグ報告で暮らしを支えている懸賞ハンターにとって一種のインセンティブになるだろう。Facebookの有効な報告に対するFacebookの支払いが遅れている時、ハンターはより多くの報酬を期待できるので、Facebookでバグ探しをする気が失せることもなくなるかもしれない。
バグ・ハンティングはセキュリティ研究者にとってビッグビジネスになっており、懸賞プログラムで年間100万ドル(約1億1000万円)を稼ぐ人もいる。しかし、賞金稼ぎは諸刃の剣だ。優秀な人材を特定のプラットフォームに集中させることは間違いないが、そうすることで脆弱性を探すのにかける時間が場所によって変わることになりかねない。その結果、大規模プラットフォームは、バグに苦しむ自らの環境を他社と同じく、あるいはより「魅力的」にすることで協力者を増やそうとする結果を招く。
Facebookは、賞金の金額はさまざまな要素に基づいて決めているという。影響度、悪用の容易さ、レポートの質などだ。「賞金を支払う場合、最低金額は500ドルです」と同社は私に話した。
「研究者に支払う報酬は、個々のバグに対する我々の内部調査で見つけた最大の影響の可能性に基づいて決定します。報告された影響度に基づくものではありません。時には我々の調査によって著しく金額が大きくなることもありますが、そのためには時間もかかります。Payout Time Bonusには、このプロセス中にの研究者たちの忍耐に対する報酬という意味もあります」。
「公開されている一連の支払いガイドラインには、外部研究者が当社の支払決定方法を理解するための詳細情報が書かれています。これまでに3種類のガイドラインを発行しており、今後もさらに発行する予定です。
関連記事
・Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待
・ファーウェイがバグ発見褒賞会議を開催、ミュンヘンにハッカーを集める
カテゴリー:セキュリティ
タグ:Facebook、バグ、バグバウンティ
画像クレジット:TechCrunch
[原文へ]
(文:Ingrid Lunden、翻訳:Nob Takahashi / facebook )