エクスプロイトブローカーなど必要ない:バグ報奨金を均一化しよう~善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル(The Register) | ScanNetSecurity
2024.03.29(金)

エクスプロイトブローカーなど必要ない:バグ報奨金を均一化しよう~善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル(The Register)

「闇市場と同じ価格で、あるいはそれを上回る価格で、発見されるすべての脆弱性を組織的な購入で買い上げることにより、サイバー犯罪者たちが脆弱性へアクセスする機会を奪うことの経済性について検討する時が来た」と Frei は主張している。

国際 TheRegister
エクスプロイトの売人や闇市場に脆弱性の研究者たちが欠陥を売り払うことを防ぐための手段として、ソフトウェアベンダーたちが「均一料金」のバグ報奨金プログラムを導入することを、セキュリティウォッチャーたちが提案している。

彼らは、現在の状況がセキュリティにとって良くないものであると信じており、また、脆弱性はしばしば犯罪者の手に――あるいは政府の手に(彼らが自身の新しい詮索能力を公開することに必ずしも熱心であるとは限らないということは、最近の内部告発によって明らかにされているとおりである)渡る結果になると考えている。

NSS Labs のリサーチディレクター Stefan Frei は、1 つのエクスプロイトの発見につき、その重大さに関わらず、最低でも 150,000 ドル(編集部註:約 1,500 万円)レベルの報奨金を設定することが示唆されるマニフェストを発表している。この奨励金のアイディア(いかなる影響を生むためにも、それは実質的なものとなる必要がある)は、脆弱性の研究者たちに対して、ブローカーやコンピュータセキュリティのグレーマーケットへ彼らの発見を売るのではなく、ソフトウェアベンダーから報酬を受けることを選ぶよう奨励するものである。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×