提案:バグの発見者に報奨金 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.17(木)

提案:バグの発見者に報奨金

国際 海外情報

Mark Rasch(SecurityFocus)
2003年11月18日 12:21 GMT

 ベンダがコンピュータ犯罪者を捕らえるために報奨金を出すのではなく、サイバー攻撃を可能にするようなセキュリティ・ホールの発見や報告をしたグレーハット・ハッカーに対して報酬を払うべきだ、と SecurityFocus のコラムニスト Mark Rasch 氏は提言している。

 Microsoft 社は最近、SoBig ワーム攻撃や Slammer ワーム攻撃を行った犯人を逮捕、起訴するため 50 万ドルの報奨金を出すと発表した。しかし、この提案は納屋のドアを開け放しておきながら、馬を盗んだ男を捕まえるために金を出すようなものだ。筆者には別の考えがある。それは、セキュリティ・ホールを見つけたグレーハット・ハッカーに報奨金を払うというものだ。

 グレーハット・ハッカーの大まかな定義だが、強制ではなく自身の意思でハードウェア、ソフトウェア、あるいは構成の脆弱性を新たに発見し、しかし悪用しない(但し、それらの存在を検証することはあり得る)人物とする。また、脆弱性の影響を受ける会社に委託され、十分な情報を与えられて脆弱性を発見する人たちをホワイトハット、他方、脆弱性を悪用する人たちをブラックハットと呼ぶ。

 バグの発見者のモデル・プロトコルが二つある。一つは、脆弱性をベンダに通報するためのもの、そしてもう一つがベンダが適切に返答するためのものだ。セキュリティ研究者 Rain Forest Puppy 氏がそのうちの一つを作成した。そして業界団体である Organization for Internet Safety が各当事者用にもう一つの規則セットを策定した。

 しかし、グレーハット・ハッカーがバグの発見をベンダに通知し、その通知が受信されたことを確認し、何がしの謝意(および報酬、報奨金)を受け、そして脆弱性が修正されたことを検証するための効果的なメカニズムが欠落している。

●提案:グレーハット・ハッカー用の ISAC

 ISAC(Information Sharing and Analysis Center)は、情報共有分析センターのことである。これは、業界内で安全且つ秘密裏に脆弱性の情報を共有することを目指して米国および他の国の政府が設立した機構だ。IT 業界は ISAC を保持しており、電気通信業界も独自の機構を有している。銀行業界は "金融サービス" ISAC を有している。また、その他の業界も同様の機構を持っている。

 しかし、当然のことながら、どの ISAC の理事会メンバーにもグレーハット・ハッカーは含まれておらず、また、それらの組織は、脆弱性に関して組織にアドバイザスするコミュニティのフォーラムとして全く機能を果たしていない。

 そこで筆者は、ある程度機密が保持されるハッカー掲示板、グレーハット ISAC を提案する。グレーハットは、あらゆる新しい脆弱性に関する情報(詳細の程度は任意)を発信することになる。彼らはその行為を匿名か(匿名化の技術の使用も含む)、あるいは既にある通称で行うことができる。

 情報は、掲示板に投稿される。その投稿にはバグ発見者がその後の経緯を辿ることができるよう追跡番号が割り当てられる。従ってグレーハットは、ベンダもしくは組織に脆弱性が通知された時、また受信を確認したか否かを知ることができる。彼らは、定期的(毎週か、あるいは 3 日ごとのように)に経過報告書を受け取り、他方ベンダや組織には詳細を入手するためにグレーハットに連絡を取る手段が提供される。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×