文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史 (2)〜 脆弱性の買取からオークションへ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.19(金)

文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史 (2)〜 脆弱性の買取からオークションへ

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ──

国際 海外情報
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
──

脆弱性の発見と公表をする研究者を、訴訟をほのめかし、 FBI による捜査を依頼して「口止め」する事件も多くなった。2005年にマイケル・リンによるシスコ・ルーターの脆弱性の発表では、シスコ社が圧力をかけ「Ciscogate」と呼ばれる事件に発展している。

この訴訟と逮捕というムチのポリシーと時代を同じくして登場したのが、飴のポリシー、すなわち、脆弱性を公に買い取る企業の登場だ。

2002年には iDefense 社の Vulnerability Contributor Program (VCP) が発足。2005年に TippingPoint 社、3Com 社による Zero-Day Initiative (ZDI)が発足している。

Vulnerability Contributor Program
http://labs.idefense.com/methodology/vulnerability/vcp.php
Zero Day Initiative | 3Com | TippingPoint, a division of 3Com
http://www.zerodayinitiative.com/index.html
ZDI設立者 ペドラム・アミーニ氏インタビュー
https://www.netsecurity.ne.jp/3_9246.html

脆弱性の発見は時間と労力がかかる緻密な研究結果だ。研究に対して対価を払うというのは納得のいくものであろり、これで脆弱性の市場が安定したかのように見えた。

だが一方、脆弱性を発表した研究者に、一般企業による脆弱性の買い取り額(最高100万円)を大きく上まる額でアプローチする団体がある。政府組織と犯罪組織だ。噂によると米国政府は脆弱性を日本円にして800万から1,000万円で買い取り、諜報活動に利用しているそうだし、ロシアを中心とした旧共産圏には、脆弱性のブラックマーケットが存在するのは事実だ。

こうした脆弱性の「市場経済」への進化を見れば、脆弱性のオークション・サイトが発足したのも自然の成り行きと言えるかもしれない。

今年2007年7月にニュースになったのが、スイスのWSラビ社(WabiSabiLabi)によるオークションサイトの発足だ…

Wabisabilabi
http://www.wslabi.com/

【執筆:米国 笠原利香】

※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×