Phantomシリーズを始めとしたセミプロ~プロ向けドローンで知られるDJIは、この8月からバグ報奨金プログラムを開始しました。ところが、重大なシステム上の問題と欠陥を発見し、報告したとあるハッカーは、DJIの姿勢に疑問を感じてプログラムから離脱、賞金の受け取りを辞退したことを明らかにしました。
ハッカーが発見したバグを公表前に報告してもらい、かわりに報奨金を出す取り組みは、Googleやマイクロソフト、アップルなどをはじめとして、いまや多くの企業が取り入れ、製品やサービスのセキュリティ向上に役立てています。
Kevin Finisterre氏は、DJIがGitHubに誤って公開していたSSL証明書の秘密鍵を入手し、その鍵を使ってDJIのサーバーに保存される機密情報にアクセスできることを発見しました。そしてDJIに対しこの発見がバグ報奨金プログラムの対象かどうかを尋ねたところ、報告書と引き換えにプログラムの最高額となる3万ドルを支給するとの返答を得ました。
ところが、31ページにもわたる詳細な報告書を作って提出したFinisterre氏を待ち受けていたのは、DJIとのセキュリティ改善に向けた協力ではなく、脆弱性に関する内容を公にしないよう求める契約でした。
Finisterre氏のようなホワイトハッカーにとって、自身が発見した脆弱性を活動実績として公表することが重要です。しかし、契約に関して交渉を試みたFinisterre氏をDJIの法律チームは脅威と認識し、脆弱性の発見は不正アクセス行為に該当するとしてコンピュータ犯罪取締法をちらつかせたとされます。
Finisterre氏は、この契約が不誠実であり、どう見ても不利だとする弁護士の指摘を受け、結局3万ドルを放棄してプログラムから離脱する道を選択、その経験を公開するにいたりました。
通常、バグ報奨金プログラムの多くは協力者がやって良いことと悪いことに関する取り決めや条件があらかじめ公開されているものです。しかしDJIの場合はプログラム開始当初、情報受付のためのページを公開してはいたものの、そこに諸条件など細かい取り決めを記載していませんでした。このため、Finisterre氏との間の条件の詰めに齟齬が生じた可能性は否定できません。
Finisterre氏が手記を公開したあと、DJIはバグ報奨金プログラムの公式サイトを立ち上げ、条件も明確化しています。そして声明において「我々は脆弱性の公開前に機密データの保護および脆弱性の分析と解決を実施するバグ報奨金プログラムの基準に従うよう報告者に求めている。しかし問題のハッカーは、DJIの条件に関する交渉を拒否して、自身の要求を満足させるよう我々を脅した」としました。
どちらが脅しているのかはさておき、発見した脆弱性を悪用せずに報告したホワイトハッカーを脅威とみなしていたのでは、本来の目的はどこへやらです。より多くの問題報告を得るためにも、バグ懸賞金プログラムで報告者たちと良好な関係を築くことのほうが、本来優先すべき事のはず。そういう意味では、DJIはもう少しじっくりと準備してからバグ報奨金プログラムを開始すべきだったかもしれません。
Engadget 日本版からの転載。