バグバウンティ(脆弱性発見報奨金制度)(2 ページ目) | ScanNetSecurity
2021.09.21(火)

バグバウンティ(脆弱性発見報奨金制度)(2 ページ目)

「報奨金プログラム」開始5週間、ワースト1の業種は「販売/流通」(BSA) 画像
調査・レポート・白書 吉澤 亨史( Kouji Yoshizawa )

「報奨金プログラム」開始5週間、ワースト1の業種は「販売/流通」(BSA)

BSAは、「報奨金プログラム」の開始から5週間が経過した時点での、職場における不正コピーの報告状況をまとめた「知財ブラック都道府県・業種ワースト5」を公開した。

組織内違法コピーの通報をうながす「報奨金プログラム」を開始(BSA) 画像
製品・サービス・業界動向 吉澤 亨史( Kouji Yoshizawa )

組織内違法コピーの通報をうながす「報奨金プログラム」を開始(BSA)

BSAは、組織内違法コピーの解決につながる有力情報の提供者に対し、最高100万円を提供する「報奨金プログラム」を、12月31日までの期間限定で実施する。

スマホアプリ「LINE」の脆弱性の発見を公募、報告者には報奨金も(LINE) 画像
製品・サービス・業界動向 冨岡晶@RBB TODAY

スマホアプリ「LINE」の脆弱性の発見を公募、報告者には報奨金も(LINE)

 LINEは5日、サービスの脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」を発表した。スマホアプリ「LINE(ライン)」(iPhone/Android)が対象で、8月24日12時~9月23日12時(日本時間)の期間限定で実施する。

「脆弱性報奨金制度」の報奨金の寄付が可能に、サイボウズが同額を上乗せ(サイボウズ) 画像
製品・サービス・業界動向 吉澤 亨史( Kouji Yoshizawa )

「脆弱性報奨金制度」の報奨金の寄付が可能に、サイボウズが同額を上乗せ(サイボウズ)

サイボウズは、同社が実施する「脆弱性報奨金制度」のルールを一部改訂し、新たに寄付制度を導入した。

報奨金の上限を300万円に引き上げ、組織内違法コピーの通報をうながす(BSA) 画像
製品・サービス・業界動向 吉澤 亨史( Kouji Yoshizawa )

報奨金の上限を300万円に引き上げ、組織内違法コピーの通報をうながす(BSA)

BSAは、組織内違法コピーの解決につながる有力情報の提供者に対し、最高300万円を提供する報奨金プログラム「知財ブラック企業は通報だ!」を実施する。

2015年も脆弱性報奨金制度を2月より実施、昨年度の報奨金総額は687万円(サイボウズ) 画像
製品・サービス・業界動向 吉澤 亨史( Kouji Yoshizawa )

2015年も脆弱性報奨金制度を2月より実施、昨年度の報奨金総額は687万円(サイボウズ)

サイボウズは、「脆弱性報奨金制度」を昨年に引き続き2月2日より実施すると発表した。

cybozu.com上で動くサービスを対象とした「脆弱性報奨金制度」を開始(サイボウズ) 画像
製品・サービス・業界動向 吉澤 亨史( Kouji Yoshizawa )

cybozu.com上で動くサービスを対象とした「脆弱性報奨金制度」を開始(サイボウズ)

サイボウズは、同社クラウドサービス(cybozu.com)上で動くサービスの脆弱性を発見し、報告した者に対して報奨金を支払う「脆弱性報奨金制度」を同日より新設した。

Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ~ソースコードは公開された。さっさと調べてしまおう(The Register) 画像
国際 ScanNetSecurity

Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ~ソースコードは公開された。さっさと調べてしまおう(The Register)

Googleはソースコードを提供しているだけだ。それは Google のバグ報奨金プログラムを通して、このツールに存在するかもしれないセキュリティの欠陥を見つけ出すよう、研究者たちを奮励させるという考えである。

悪玉は時代遅れ――最高のハッカーはグレーゾーンで法を守る~バグ報奨金プログラムが「合法的な収入」を魅力的に提案(The Register) 画像
国際 ScanNetSecurity

悪玉は時代遅れ――最高のハッカーはグレーゾーンで法を守る~バグ報奨金プログラムが「合法的な収入」を魅力的に提案(The Register)

それらのプログラムの報酬はまだ高額ではないが、それでも一部では、重大な未知の脆弱性に対し、セキュリティの組織や政府のバイヤーから非常に高額な報酬を得られる可能性があるということを、その報告書は指摘している。

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」 千田 雅明 氏 画像
研修・セミナー・カンファレンス 高橋 潤哉( Junya Takahashi )

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」 千田 雅明 氏

IDAという脆弱性を探す側のソフトウェアに存在している脆弱性の調査結果をまとめたものを発表します。IDAについてはバグバウンティプログラムをきっかけに脆弱性が調査される対象となりました。

HP、Pwn2Own を勝ち抜く「エクスプロイトの伝説の一角獣」に、 15 万ドルの賞金を提示~そしてブラウザとアプリのハッキングにも高額賞金が(The Register) 画像
国際 ScanNetSecurity

HP、Pwn2Own を勝ち抜く「エクスプロイトの伝説の一角獣」に、 15 万ドルの賞金を提示~そしてブラウザとアプリのハッキングにも高額賞金が(The Register)

Pwn2Own は、3 月の CanSecWest セキュリティカンファレンスで開催される毎年恒例のイベントであり、HP および共同スポンサーの Google は、破壊的な力を実演できる挑戦者たちへの賞金として 50 万ドル以上の資金を投入している。

Facebook、過去最高額のバグ報奨金 33,500 ドルを吐き出す~リモートコードの実行を許す脆弱性を発見したブラジル人、5 桁を獲得(The Register) 画像
国際 ScanNetSecurity

Facebook、過去最高額のバグ報奨金 33,500 ドルを吐き出す~リモートコードの実行を許す脆弱性を発見したブラジル人、5 桁を獲得(The Register)

リモートコードの実行を許す脆弱性は、脆弱なウェブサイトを訪問するネット閲覧者たちにマルウェアを投じるタイプの攻撃に役立つものとなるだろう。それは非常に深刻なリスクであり、だからこそ Facebook のバグ報奨金プログラムで高額の支払いが行われた。

エクスプロイトブローカーなど必要ない:バグ報奨金を均一化しよう~善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル(The Register) 画像
国際 ScanNetSecurity

エクスプロイトブローカーなど必要ない:バグ報奨金を均一化しよう~善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル(The Register)

「闇市場と同じ価格で、あるいはそれを上回る価格で、発見されるすべての脆弱性を組織的な購入で買い上げることにより、サイバー犯罪者たちが脆弱性へアクセスする機会を奪うことの経済性について検討する時が来た」と Frei は主張している。

DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する~Capture the Flag のコード競争に破格の賞金(The Register) 画像
国際 ScanNetSecurity

DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する~Capture the Flag のコード競争に破格の賞金(The Register)

セキュリティ業界の一部は、「自動化したコードチェッカーが人力に打ち勝つ」という考えを嘲笑っているものの、セキュリティソフトウェア企業のリクルーターたちが、成功したプレーヤーに、有利な雇用条件で接触するようになることは間違いない。

バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む~しかし、それをアウトソーシングするのは正解かもしれない(The Register) 画像
国際 ScanNetSecurity

バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む~しかし、それをアウトソーシングするのは正解かもしれない(The Register)

すでに約 400 人のテスターがサインアップしており、その数は現在も増えていると Storm は語った。「何が報告されているのか、どんなフィードバックを受けとったのか、その概要を容易につかめる場所で、我々はバグ管理システムを構築している」

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」(11月18日版)Scan名誉編集長 りく君の セキュリティにゃークサイド 画像
特集

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」(11月18日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

11月13~14日にはセキュリティカンファレンス「PacSec」が開催されたよ。併催されていたモバイル脆弱性発見コンテスト「Mobile Pwn2Own」では日本のMBSDチームが見事にハッキングに成功して賞金4万ドルを獲得したんだにゃー。

Yahoo! バグ報告の! 報奨金に! 相応しい! 現金を! ソファの! 裏から! 発見!~「12.50 ドルの件は悪かった。15,000 ドルなら悪くないと思うかい?」(The Register) 画像
国際 ScanNetSecurity

Yahoo! バグ報告の! 報奨金に! 相応しい! 現金を! ソファの! 裏から! 発見!~「12.50 ドルの件は悪かった。15,000 ドルなら悪くないと思うかい?」(The Register)

詳細は記事の中でリスト化されているが、それが目指すところは、バグの報告を容易に行えるようにし、評価および応答処理を迅速に実施し、問題点を迅速に修正し、そしてバグを発見した研究者には適切な敬意を送るという約束だ。

Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル! ~そのうえ Yahoo! のロゴ入りグッズしか買えない(The Register) 画像
国際 ScanNetSecurity

Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル! ~そのうえ Yahoo! のロゴ入りグッズしか買えない(The Register)

「Yahoo! にセキュリティの脆弱性を報告する人々の士気は殺がれるだろう。その脆弱性が闇市場において、はるかに高値で容易に売ることができる場合は尚更のことだ」と彼は主張している。

なあ……電波で携帯をハッキングする方法を知らないか?  7 万ドル払うよ~今年の Mobile Pwn2Own、賞金の準備は万端(The Register) 画像
国際 ScanNetSecurity

なあ……電波で携帯をハッキングする方法を知らないか?  7 万ドル払うよ~今年の Mobile Pwn2Own、賞金の準備は万端(The Register)

Mobile Pwn2Own の賞金は攻撃のタイプによって分けられる:つまり、機器のモデルやプラットフォームごとに分けられるのではなく、まさに「いかにして出場者がデジタル機器に潜り込むことができたのか」という攻撃の方法で区別される。

組織内違法コピーの通報が過去最多となる145件を記録、報奨金プログラムがきっかけに(BSA) 画像
調査・レポート・白書 冨岡晶@RBB TODAY

組織内違法コピーの通報が過去最多となる145件を記録、報奨金プログラムがきっかけに(BSA)

 BSA | The Software Allianceは5日、6月に寄せられた組織内違法コピーの通報が、1か月の通報数で過去最多となる「145件」を記録したことを発表した。これまでは2007年7月の「76件」が最多だった。

Microsoft、コンテストで初めて「バグ発見者への 10 万ドルの賞金」を提供~Black Hat が Windows 8.1 と Internet Explorer 11 で衝撃を与える(The Register) 画像
国際 ScanNetSecurity

Microsoft、コンテストで初めて「バグ発見者への 10 万ドルの賞金」を提供~Black Hat が Windows 8.1 と Internet Explorer 11 で衝撃を与える(The Register)

しかし、その発見は「モラルの問題」としてハッカーが責任を持って開示すべきであると反対派は示唆している。その一方で、ソフトウェアの欠陥に関しては、活発な闇市場(とりわけゼロデイ脆弱性を対象としたもの)が存在している。

  1. 1
  2. 2
  3. 3
Page 2 of 3
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×