[筆者: Jon Russell]
昨年10月にYahooは、同社のメールサービスの重要な脆弱性を見つけた研究者に(なんと、会社として!)12ドル50セントの薄謝を進呈する、というどけちぶりを発表して、セキュリティのコミュニティを唖然とさせた。重大な弱点を見つけたらそれなりの報酬が出るのでは、と期待されたが、Yahooは期待に反してドジを踏んだ。そしてその後同社はやっと、正規のBug Bounty Program(バグ報奨事業)を立ち上げた。
それから1年後の今日(米国時間10/14)、Yahooの発表によると、この事業の一環として、1年間で70万ドルあまりの報奨金が支払われた。バグ報告を寄せたセキュリティ研究家の数は、600名を超えている。
けちな報酬額で笑いものになった1年前に比べると、Yahooの今の立場は強い。たしかに。
“私たちは自分たちのルーツを忘れていない”、とYahooは頑固に言っている。“だから今でも、重要な脆弱性を見つけた研究者にはときどきTシャツをお送りしている”。2013年10月には、Yahooのメールの問題をつきとめた研究者は同社のTシャツを謝礼の12ドル50セントで買うことができた。正規のバグ報奨事業になってからは、報奨額は最低で50ドル、最高は15000ドルになった。
今の私たちは、ほとんど毎日のように、Webサイトのセキュリティの重要性に気付かされる。クレジットカードのハック、一度に数百万件というメールのアカウント情報のリーク、などなどの事件が今や日常茶飯事になり、しかも企業のセキュリティ対策はまだまだ不十分だ。そのため、バグ報奨事業の重要性は、嫌が上にも増している。
Googleの昨年の公表によると、同社は研究者たちにそれまでの3年間で200万ドルの報奨金を払っている(Yahooの70万は1年)。Microsoftがバグ報奨事業を立ち上げたのは2013年の夏で、対象にOffice 365が加わったのは先月だ。それに、Twitterなどのビッグサイトはもちろん、匿名メッセージングアプリSecretのような若い企業でさえ、バグ報奨事業に右へならえしている。
しかし、この事業があるからといって、すべての問題が蕾の段階で摘み取られているわけではない。独自のセキュリティを固め、バグ報奨事業もやっているDropboxは、一部のユーザのアカウント情報とパスワードを今週盗まれた(Dropboxのサーバから盗まれたわけではないが、セキュリティの穴があったことは事実)。Dropboxは、同社のサーバはハックされなかったと言っているが、サードパーティのWebサイトあるいは、一部のユーザによる同じログイン情報(IDとパスワード)の複数のサービスにおける使い回しが、原因だったようだ。
画像出典: Linda Tanner / Flickr
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
