もしあなたがあれこれつつき回して大企業の間違いを証明することが好きなら、米国FCA(Fiat Crysler Automobile)社は格好の挑戦を提供している。米国FCAはフィアット、クライスラー、ジープ、ダッジ、そしてラムの統括会社であるが、彼らが製造する車両のサイバーセキュリティシステムの潜在的な脆弱性を見つけて欲しいと思っているのだ。発見者には報酬が用意されている。
米国FCAはその報奨金プログラムを、サイバーセキュリティ研究者のコミュニティであるBugcrowd 上に開設した。バグ賞金稼ぎたちには、発見された脆弱性を再現し検証するのに必要な情報を米国FCAに提供することを含む、幾つかのルールが課される。同社はまた賞金稼ぎたちに、データを破壊しないこと、米国FCAのサービスを中断しないこと、そして「自分に帰属しないデータを変更、参照、あるいは保存しないこと」を要請している。
こうした基本的なガイドラインに従って、あなたが得るものは何か?まず第一に、その深刻度に応じて、バグ1件につき150から1500ドルの現金を得る。またあなたがルールに従う限り、米国FCAはプログラムに参加する研究者たちに対して法的行動を起こさず、当局への強制捜査も依頼しないことを約束する。
米国FCAが探しているのは、UConnectシステムの特にiOSとAndroidアプリのバグである。彼らはまた、彼らが所有するタイヤ空気圧センサーやリモートキーレスエントリーシステムといったハードウェアのバグをテストすることや、テストのためにそれらにアクセスすることを求めている。要するに、もしあなたが米国FCAの車両に侵入し、そのサイバーセキュリティを打ち負かすことができると思うなら、数100ドルを手中にできそうだということだ。
ディーラーのウェブサイトやDDOS攻撃のようないくつかの立ち入り禁止領域もある。正確な参加条件を知るためにはBugcrowdのFCA US Project のページをチェックすること。
昨年の夏の悪名高いジープハックを思い出しただろうか。あの時米国FCAは優雅とは言えないが迅速には対応した。同社は明らかに、どうせハッカーがハックするならば、彼らのオタクパワーを活用し、コードの欠陥の発見に対して報酬を払った方が良さそうだという決意をしたようである。
[ 原文へ ]
(翻訳:Sako)