メーカーや金融に広がる「バグ報奨金制度」

社外の力でセキュリティ強化

By 中田敦
2016.11.30

印刷

　「御社のシステムにセキュリティ脆弱性を見つけました。詳細を教えますので、報酬を支払っていただきたい」――。見知らぬ人から英語でこんなメールを受け取ったら、あなたの会社はどう対応するだろうか。「気味が悪いから無視したよ」。日本のある大手企業のCIO（最高情報責任者）はそう打ち明ける。

　しかしこうした対応は間違いだ。この企業は自社のセキュリティを高める機会をむざむざ失ったことになるからだ。米国など海外には、企業のシステムのバグを見つけては「報奨金」を稼ぐことを生業にする「在野のセキュリティ技術者・研究者（ホワイトハッカー）」が実在する。そして米国の大手自動車メーカーや金融機関、さらには政府機関が、そうしたホワイトハッカーを積極的に活用し始めている（表）。

表●ITベンダー以外で「バグ報奨金制度」を導入している例

[画像のクリックで拡大表示]

　バグを見つけてくれた外部の技術者に報奨金を支払う「バグ報奨金制度」は、もともとは2000年ごろにWebブラウザーやOSを開発するITベンダーが開始した。実際、米Microsoftや米Googleが発表するOSの「バグレポート」を見てみると、そのバグを発見した外部の技術者への謝辞が記載されているケースがほとんどであることが分かる。

　MicrosoftやGoogleのような世界で最も多くのセキュリティ技術者を抱える企業であっても、自社だけで全てのバグを見つけ出すのは不可能。バグの発見に外部の力を借りるのは、IT業界では既に常識となっていた。その常識が「ビジネスのデジタル化」に伴い、一般企業にも広がっているわけだ。

バグ報奨金制度を支えるスタートアップが存在

　海外送金やクレジットカード発行を手がける米国の金融機関、Western Unionも2015年にバグ報奨金制度を開始した。「外部からバグ報告を受けることが何度か続き、本格的に対応する必要があると判断した」。同社のDavid Levin情報セキュリティ担当ディレクターはそう語る（写真1）。

写真1●米Western UnionのDavid Levin情報セキュリティ担当ディレクター

　バグ報奨金制度を始めるに当たって同社は、米サンフランシスコに拠点を置くスタートアップ、Bugcrowdの協力を仰いだ。Bugcrowdは2012年に営業を開始した「バグ報奨金制度の代行事業者」だ。セキュリティ技術者がWestern Unionに報告してきたバグは、まずBugcrowdがその「深刻度」を検証。報奨金は深刻度に応じて支払われる。

　Western UnionのLevin氏は「当社のような一般企業では、報告されたバグが本物かどうか検証できない。そのために専門事業者に依頼した」と語る。ITが本業ではない一般企業がバグ報奨金制度を始められるようになった背景には、Bugcrowdのようなスタートアップの存在があった。

　「Bugcrowdの強みは、4万人のセキュリティ技術者が参加するコミュニティーを作っていること」。Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏はそう説明する（写真2）。「DEF CON」や「Black Hat」、「AppSec」といったセキュリティカンファレンスでバグ報奨金制度に興味を持ちそうなセキュリティ技術者をリクルート。顧客企業が新しいシステムの稼働を開始する際には4万人のセキュリティ技術者に「バグ探索」を呼びかけ、成果報酬方式で報奨金を支払う。

写真2●Bugcrowdマーケティング担当シニア・バイス・プレジデントのPaul Ross氏

　Bugcrowdの顧客企業は公開・非公開を含めて286社で、2016年8月までに同社を通じて5万3113件のバグが見つかり、セキュリティ技術者に205万4721ドル（約2億円）の報奨金を支払った。見つかったバグ1件につき、40ドルほどを支払っている計算だ。

続きを読む自動車のバグを「探してください」

　欧米自動車大手のFiat Chrysler Automobiles（FCA）や米Tesla Motorsなども、Bugcrowdを利用してバグ報奨金制度を運営している。自動車業界はこの1年で、ホワイトハッカーとメーカーとの関係性が激変した領域でもある。

　2015年8月に米ラスベガスで開催された開催された「Black Hat 2015」では、セキュリティ研究者がFCAの「Jeep」ブランドの乗用車に無線経由で遠隔から制御系統まで乗っ取ることができる脆弱性があることを発表し、大きな話題を呼んだ。

　それから1年後の2016年8月、ラスベガスで「Black Hat 2016」と同時に開催されたセキュリティカンファレンス「Def Con 24」では、「Car Hacking Village」というイベントが開催されていた。意訳すれば「自動車ハッキング大会」。自動車メーカーが車内ネットワーク機器「CAN」の実機をイベント会場に持ち込み、ハッカーチームに自社の自動車をハッキングしてもらう。そうすることで自動車に存在するバグを見つけ出すという取り組みだ。

自動車のバグを「探してください」

　その中にはFCAの姿もあった（写真3）。1年前にはセキュリティ研究者による脆弱性公表を強く批判していたFCAが、今では外部のセキュリティ研究者の声に耳を傾けるようになっただけでなく、「どうぞバグを見つけて、報告してください」という態度に出るようになったわけだ。

写真3●「Def Con 24」での「Car Hacking Village」の模様<br />出典：米Bugcrowd

写真3●「Def Con 24」での「Car Hacking Village」の模様
出典：米Bugcrowd

　FCAやTeslaがバグ報奨金制度を開始したのは2016年のこと。2016年9月には中国Tencentのセキュリティ研究者が、Teslaの「モデルS」を外部からコントロールできるセキュリティ脆弱性を見つけてブログで公表したが、彼らはその前にテスラに脆弱性を連絡済みだった。Teslaも脆弱性が公表された翌日には、修正プログラムの配布を始めていた。

　セキュリティを高めるためには、社外の力を積極的に活用する。それはもはや、IT業界だけの常識ではなく、あらゆる企業にとっての常識になり始めている。日本ではバグ報奨金制度を導入する企業はまだまだ少ない。このままでは日本企業が、セキュリティ面で米国企業にますます差を広げられる恐れがある。

まずは会員登録(無料)