バグバウンティ（脆弱性発見報奨金制度）(3 ページ目)

「脆弱性報奨金制度」の報奨金の寄付が可能に、サイボウズが同額を上乗せ（サイボウズ）画像

製品・サービス・業界動向

吉澤亨史（ Kouji Yoshizawa ）

2015.6.17 Wed 8:00

「脆弱性報奨金制度」の報奨金の寄付が可能に、サイボウズが同額を上乗せ（サイボウズ）

サイボウズは、同社が実施する「脆弱性報奨金制度」のルールを一部改訂し、新たに寄付制度を導入した。

報奨金の上限を300万円に引き上げ、組織内違法コピーの通報をうながす（BSA）画像

製品・サービス・業界動向

吉澤亨史（ Kouji Yoshizawa ）

2015.2.16 Mon 18:51

報奨金の上限を300万円に引き上げ、組織内違法コピーの通報をうながす（BSA）

BSAは、組織内違法コピーの解決につながる有力情報の提供者に対し、最高300万円を提供する報奨金プログラム「知財ブラック企業は通報だ！」を実施する。

2015年も脆弱性報奨金制度を2月より実施、昨年度の報奨金総額は687万円（サイボウズ）画像

製品・サービス・業界動向

吉澤亨史（ Kouji Yoshizawa ）

2015.1.28 Wed 8:00

2015年も脆弱性報奨金制度を2月より実施、昨年度の報奨金総額は687万円（サイボウズ）

サイボウズは、「脆弱性報奨金制度」を昨年に引き続き2月2日より実施すると発表した。

cybozu.com上で動くサービスを対象とした「脆弱性報奨金制度」を開始（サイボウズ）画像

製品・サービス・業界動向

吉澤亨史（ Kouji Yoshizawa ）

2014.6.20 Fri 8:00

cybozu.com上で動くサービスを対象とした「脆弱性報奨金制度」を開始（サイボウズ）

サイボウズは、同社クラウドサービス（cybozu.com）上で動くサービスの脆弱性を発見し、報告した者に対して報奨金を支払う「脆弱性報奨金制度」を同日より新設した。

Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ～ソースコードは公開された。さっさと調べてしまおう（The Register）画像

国際

ScanNetSecurity

2014.6.18 Wed 8:30

Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ～ソースコードは公開された。さっさと調べてしまおう（The Register）

Googleはソースコードを提供しているだけだ。それは Google のバグ報奨金プログラムを通して、このツールに存在するかもしれないセキュリティの欠陥を見つけ出すよう、研究者たちを奮励させるという考えである。

悪玉は時代遅れ――最高のハッカーはグレーゾーンで法を守る～バグ報奨金プログラムが「合法的な収入」を魅力的に提案（The Register）画像

国際

ScanNetSecurity

2014.4.10 Thu 8:30

悪玉は時代遅れ――最高のハッカーはグレーゾーンで法を守る～バグ報奨金プログラムが「合法的な収入」を魅力的に提案（The Register）

それらのプログラムの報酬はまだ高額ではないが、それでも一部では、重大な未知の脆弱性に対し、セキュリティの組織や政府のバイヤーから非常に高額な報酬を得られる可能性があるということを、その報告書は指摘している。

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」千田雅明氏画像

研修・セミナー・カンファレンス

高橋潤哉（ Junya Takahashi ）

2014.2.14 Fri 9:15

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」千田雅明氏

IDAという脆弱性を探す側のソフトウェアに存在している脆弱性の調査結果をまとめたものを発表します。IDAについてはバグバウンティプログラムをきっかけに脆弱性が調査される対象となりました。

HP、Pwn2Own を勝ち抜く「エクスプロイトの伝説の一角獣」に、 15 万ドルの賞金を提示～そしてブラウザとアプリのハッキングにも高額賞金が（The Register）画像

国際

ScanNetSecurity

2014.2.7 Fri 8:30

HP、Pwn2Own を勝ち抜く「エクスプロイトの伝説の一角獣」に、 15 万ドルの賞金を提示～そしてブラウザとアプリのハッキングにも高額賞金が（The Register）

Pwn2Own は、3 月の CanSecWest セキュリティカンファレンスで開催される毎年恒例のイベントであり、HP および共同スポンサーの Google は、破壊的な力を実演できる挑戦者たちへの賞金として 50 万ドル以上の資金を投入している。

Facebook、過去最高額のバグ報奨金 33,500 ドルを吐き出す～リモートコードの実行を許す脆弱性を発見したブラジル人、5 桁を獲得（The Register）画像

国際

ScanNetSecurity

2014.2.3 Mon 8:30

Facebook、過去最高額のバグ報奨金 33,500 ドルを吐き出す～リモートコードの実行を許す脆弱性を発見したブラジル人、5 桁を獲得（The Register）

リモートコードの実行を許す脆弱性は、脆弱なウェブサイトを訪問するネット閲覧者たちにマルウェアを投じるタイプの攻撃に役立つものとなるだろう。それは非常に深刻なリスクであり、だからこそ Facebook のバグ報奨金プログラムで高額の支払いが行われた。

エクスプロイトブローカーなど必要ない：バグ報奨金を均一化しよう～善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル（The Register）画像

国際

ScanNetSecurity

2014.1.6 Mon 8:30

エクスプロイトブローカーなど必要ない：バグ報奨金を均一化しよう～善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル（The Register）

「闇市場と同じ価格で、あるいはそれを上回る価格で、発見されるすべての脆弱性を組織的な購入で買い上げることにより、サイバー犯罪者たちが脆弱性へアクセスする機会を奪うことの経済性について検討する時が来た」と Frei は主張している。

DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する～Capture the Flag のコード競争に破格の賞金（The Register）画像

国際

ScanNetSecurity

2013.12.17 Tue 8:30

DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する～Capture the Flag のコード競争に破格の賞金（The Register）

セキュリティ業界の一部は、「自動化したコードチェッカーが人力に打ち勝つ」という考えを嘲笑っているものの、セキュリティソフトウェア企業のリクルーターたちが、成功したプレーヤーに、有利な雇用条件で接触するようになることは間違いない。

バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む～しかし、それをアウトソーシングするのは正解かもしれない（The Register）画像

国際

ScanNetSecurity

2013.12.10 Tue 8:30

バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む～しかし、それをアウトソーシングするのは正解かもしれない（The Register）

すでに約 400 人のテスターがサインアップしており、その数は現在も増えていると Storm は語った。「何が報告されているのか、どんなフィードバックを受けとったのか、その概要を容易につかめる場所で、我々はバグ管理システムを構築している」

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」（11月18日版）Scan名誉編集長りく君のセキュリティにゃークサイド画像

特集

2013.11.18 Mon 8:45

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」（11月18日版）Scan名誉編集長りく君のセキュリティにゃークサイド

11月13～14日にはセキュリティカンファレンス「PacSec」が開催されたよ。併催されていたモバイル脆弱性発見コンテスト「Mobile Pwn2Own」では日本のMBSDチームが見事にハッキングに成功して賞金4万ドルを獲得したんだにゃー。

Yahoo! バグ報告の! 報奨金に! 相応しい! 現金を! ソファの! 裏から! 発見!～「12.50 ドルの件は悪かった。15,000 ドルなら悪くないと思うかい？」（The Register）画像

国際

ScanNetSecurity

2013.10.17 Thu 8:30

Yahoo! バグ報告の! 報奨金に! 相応しい! 現金を! ソファの! 裏から! 発見!～「12.50 ドルの件は悪かった。15,000 ドルなら悪くないと思うかい？」（The Register）

詳細は記事の中でリスト化されているが、それが目指すところは、バグの報告を容易に行えるようにし、評価および応答処理を迅速に実施し、問題点を迅速に修正し、そしてバグを発見した研究者には適切な敬意を送るという約束だ。

Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル! ～そのうえ Yahoo! のロゴ入りグッズしか買えない（The Register）画像

国際

ScanNetSecurity

2013.10.10 Thu 8:30

Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル! ～そのうえ Yahoo! のロゴ入りグッズしか買えない（The Register）

「Yahoo! にセキュリティの脆弱性を報告する人々の士気は殺がれるだろう。その脆弱性が闇市場において、はるかに高値で容易に売ることができる場合は尚更のことだ」と彼は主張している。

なあ……電波で携帯をハッキングする方法を知らないか？　 7 万ドル払うよ～今年の Mobile Pwn2Own、賞金の準備は万端（The Register）画像

国際

ScanNetSecurity

2013.10.7 Mon 8:30

なあ……電波で携帯をハッキングする方法を知らないか？　 7 万ドル払うよ～今年の Mobile Pwn2Own、賞金の準備は万端（The Register）

Mobile Pwn2Own の賞金は攻撃のタイプによって分けられる：つまり、機器のモデルやプラットフォームごとに分けられるのではなく、まさに「いかにして出場者がデジタル機器に潜り込むことができたのか」という攻撃の方法で区別される。

組織内違法コピーの通報が過去最多となる145件を記録、報奨金プログラムがきっかけに(BSA) 画像

調査・レポート・白書・ガイドライン

冨岡晶@RBB TODAY

2013.7.6 Sat 13:00

組織内違法コピーの通報が過去最多となる145件を記録、報奨金プログラムがきっかけに(BSA)

　BSA | The Software Allianceは5日、6月に寄せられた組織内違法コピーの通報が、1か月の通報数で過去最多となる「145件」を記録したことを発表した。これまでは2007年7月の「76件」が最多だった。

Microsoft、コンテストで初めて「バグ発見者への 10 万ドルの賞金」を提供～Black Hat が Windows 8.1 と Internet Explorer 11 で衝撃を与える（The Register）画像

国際

ScanNetSecurity

2013.7.2 Tue 8:30

Microsoft、コンテストで初めて「バグ発見者への 10 万ドルの賞金」を提供～Black Hat が Windows 8.1 と Internet Explorer 11 で衝撃を与える（The Register）

しかし、その発見は「モラルの問題」としてハッカーが責任を持って開示すべきであると反対派は示唆している。その一方で、ソフトウェアの欠陥に関しては、活発な闇市場（とりわけゼロデイ脆弱性を対象としたもの）が存在している。

インシデント・事故

吉澤亨史（ Kouji Yoshizawa ）

2013.6.20 Thu 16:01

「報奨金プログラム」開始後、製造、販売・流通など7割の業界で通報（BSA）

BSAは、「報奨金プログラム」開始後2週間で全30業界の7割を超す22業界から組織内違法コピーの通報があったと発表した。

組織内違法コピーがもっとも多く通報されたワースト業界は全体比13％で販売・流通業界(BSA) 画像

調査・レポート・白書・ガイドライン

冨岡晶@RBB TODAY

2013.6.13 Thu 8:00

組織内違法コピーがもっとも多く通報されたワースト業界は全体比13％で販売・流通業界(BSA)

　著作権保護団体BSA | The Software Allianceは12日、「報奨金プログラム」開始後1週間（6月1日～7日）で組織内違法コピーがもっとも多く通報された“ワースト業界”を発表した。

製品・サービス・業界動向

冨岡晶@RBB TODAY

2013.6.1 Sat 14:00

ソフトウェアの違法コピー対策に報奨金を提供、国内初の試み(BSA)

　国際的なソフトウェア著作権保護団体の「BSA | The Software Alliance」は30日、組織内違法コピーの解決につながる有力情報の提供者に対し、最大100万円の報奨金を提供する「報奨金プログラム」を発表した。

バグバウンティ（脆弱性発見報奨金制度）(3 ページ目)

「脆弱性報奨金制度」の報奨金の寄付が可能に、サイボウズが同額を上乗せ（サイボウズ）

報奨金の上限を300万円に引き上げ、組織内違法コピーの通報をうながす（BSA）

2015年も脆弱性報奨金制度を2月より実施、昨年度の報奨金総額は687万円（サイボウズ）

cybozu.com上で動くサービスを対象とした「脆弱性報奨金制度」を開始（サイボウズ）

Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ～ソースコードは公開された。さっさと調べてしまおう（The Register）

悪玉は時代遅れ――最高のハッカーはグレーゾーンで法を守る～バグ報奨金プログラムが「合法的な収入」を魅力的に提案（The Register）

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」 千田 雅明 氏

HP、Pwn2Own を勝ち抜く「エクスプロイトの伝説の一角獣」に、 15 万ドルの賞金を提示～そしてブラウザとアプリのハッキングにも高額賞金が（The Register）

Facebook、過去最高額のバグ報奨金 33,500 ドルを吐き出す～リモートコードの実行を許す脆弱性を発見したブラジル人、5 桁を獲得（The Register）

エクスプロイトブローカーなど必要ない：バグ報奨金を均一化しよう～善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル（The Register）

DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する～Capture the Flag のコード競争に破格の賞金（The Register）

バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む～しかし、それをアウトソーシングするのは正解かもしれない（The Register）

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」（11月18日版）Scan名誉編集長 りく君の セキュリティにゃークサイド

Yahoo! バグ報告の! 報奨金に! 相応しい! 現金を! ソファの! 裏から! 発見!～「12.50 ドルの件は悪かった。15,000 ドルなら悪くないと思うかい？」（The Register）

Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル! ～そのうえ Yahoo! のロゴ入りグッズしか買えない（The Register）

なあ……電波で携帯をハッキングする方法を知らないか？ 7 万ドル払うよ～今年の Mobile Pwn2Own、賞金の準備は万端（The Register）

組織内違法コピーの通報が過去最多となる145件を記録、報奨金プログラムがきっかけに(BSA)

Microsoft、コンテストで初めて「バグ発見者への 10 万ドルの賞金」を提供～Black Hat が Windows 8.1 と Internet Explorer 11 で衝撃を与える（The Register）

「報奨金プログラム」開始後、製造、販売・流通など7割の業界で通報（BSA）

組織内違法コピーがもっとも多く通報されたワースト業界は全体比13％で販売・流通業界(BSA)

ソフトウェアの違法コピー対策に報奨金を提供、国内初の試み(BSA)

CODE BLUE 開催直前インタビュー「IDAの脆弱性とBug Bounty」千田雅明氏

「Pwn2Ownで日本のチームがハッキングに成功して4万ドルの賞金を獲得したんだにゃーの巻」（11月18日版）Scan名誉編集長りく君のセキュリティにゃークサイド

なあ……電波で携帯をハッキングする方法を知らないか？　 7 万ドル払うよ～今年の Mobile Pwn2Own、賞金の準備は万端（The Register）