企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

バグバウンティについて

もし自社の脆弱性が外部で売られていたら?

Jul 25, 2016 08:00 by 小西明紀

インターネット上では日夜、星の数ほどの情報が飛び交っています。

その中には脆弱性のような望ましくない情報もやり取りされており、時には売買されています。

一度ネット上にアップされた情報は、完全に消し去ることはできず、急速に広まります。

不正に公開される脆弱性情報

弊所から先日発売された『闇ウェブ』では、次のような記述があります。

シルクロードや類似の闇サイトで取り扱われている「違法商品」は多岐にわたる。
ハッキングツール、未発表の脆弱性情報、といったものまでが当たり前のように取引されている。

実際にダークウェブでは、脆弱性を売買しているサイトを見つけることができます。

特定のサイトに関わる脆弱性からCMSに関わる脆弱性、ミドルウェアに関わるものなど多岐にわたります。

脆弱性売買が行われているサイトは複数あり、日常的にこういった取引が行われていると考えていいでしょう。

ただ、Webの深層であるダークウェブだけでこういった事態が起きているではありません。

スクリーンショット 2016-07-20 15.00.27

この脆弱性売買サイトは通常の検索エンジンから遷移することができます。

かなり古いものですが、その中の1つを見てみると、あるSNSの認証バイパスに関する脆弱性が販売されており、金額は2000ドルです。

このサイトのみならず、簡単に発見される脆弱性や企業にとって不利益となるバグ情報、ゲームのチート手法などは、2ちゃんねるなどの掲示板やブログなどで公開されることがあります。

脆弱性情報を公開するリスク

ハッカーはなぜアンダーグラウンドな場所で脆弱性情報を取引したり、公開するのでしょうか。

大きく2つの理由が考えられます。

まず第一に、金銭目的。
特にダークウェブなどで脆弱性を売買するハッカーの主たる目的は、これでしょう。

前述のサイトを見ると、脆弱性情報は高いものでは2000ドル近い金額でやりとりされることもめずらしくありません。

PC一つで、短期間で大金を稼ぐことができる仕事として、魅力を感じるハッカーもいることでしょう。

特に所得水準の低い地域のハッカーは、脆弱性1つで数ヵ月分の生活費を稼ぐことも可能なわけです。

もう一つの理由は、名声です。

自分の能力をアピールしたいという目的からブログ・掲示板などで脆弱性を公開します。

自らをアピールすること自体は悪いことではありません。

ただ、未公開の脆弱性情報を公にすることで、多くの人に利用され、対象となったアプリケーションの所有者が損失を負う危険性があります。

ハッカー側からみても、リスクは決してゼロではありません。

売却するにしろ、公開するだけにしろ、不正な調査で知りえた脆弱性情報をオープンにすることは、犯罪とみなされる可能性の高い行為です。

脆弱性情報を買うことの意義

一般的に、重要度の高い脆弱性であればあるほど、高額で売買されます。

いくら高い金額でその脆弱性が売られたとしても、多くの場合、その脆弱性が悪用されれば、それを上回る損失が出るでしょう。

では、自社の脆弱性情報が売られていた場合、それを買い取ればいいのでしょうか?

脆弱性を買うことで、ある程度情報の拡散を防ぐことができるかもしれません。

しかし同時に、不正な調査を助長することになります。

有効な解決方法はバグ報奨金制度を採用することです。

自社のサイトへに窓口を設けて、そこで脆弱性を買い取るようにすればいいのです。

そうすることで、脆弱性情報をリアルタイムに把握でき、不正に公開された脆弱性を利用されるリスクも低減することができるはずです。

買いたい企業、売りたいハッカー

shutterstock_253007731

アプリケーションやサービスは多かれ少なかれ潜在的に脆弱性を抱えています。

もし仮に、把握していない脆弱性が公開され、悪意のある第三者に利用された場合、被害が発生します。

脆弱性1つでサービスの命運を左右しかねない今、世界中のハッカーと契約を結んで、脆弱性をみつけてもらうことは有効なセキュリティ施策です。

また、ハッカー側からしても、犯罪につながるリスクを排除し、調査ができ、知的好奇心を満たすとともに、高額の報酬を得るバグ報奨金制度は魅力的です。

「企業とハッカーをつなぐ」というコンセプトを元に、BugBounty.jpでは、バグ報奨金制度を通じて、企業とハッカー双方を結び付け、セキュリティに寄与していきます。

この記事をシェアしませんか?

  • 0

この記事のライター

小西明紀

小西明紀

セキュリティ歴6年。かわいい猫を二匹買っています。最近猫のために家買いました。

同じカテゴリーの記事