脆弱性を売買していいのか

セキュリティに関するバグの報奨金制度は、Apple,Google,Facebook,Microsoft,Mozilla だけでなくサイボウズやLINEなど、多くの企業が実施しています。

大規模なソフトウエアである以上、バグが無い状態などありえませんし、あらゆるテストを完全に実施することも現実的に不可能です。しかしその損害の大きさから、脆弱性を放置することは絶対にできませんし、攻撃者よりも先に発見して修正することも大切です。

企業が自らバグを発見しつくすのはあまりにも大きなコストと時間がかかります。テストエンジニアを大量に雇って効果の薄いテストを行い続けるのではなく、発見してくれた人に成功報酬を払う形としたほうが総コストを下げることができます。そのため各社こぞって報奨金制度を作っているのだと思います。

しかも脆弱性を発見できるほど実力のあるハッカーを「味方につける」ことで脆弱性の情報流通を抑止する効果もありますので、一石二鳥の制度なのでしょう。

ところで CNET Japan にこのような記事がありました。

http://japan.cnet.com/news/business/35087461/

Exodus Intelligenceが米国時間8月9日、Apple製品に存在する有効なバグを報告した研究者らに対し、Appleの提示額を上回る最大50万ドルの報奨金を支払うというさらに魅力的なプログラムを開始した。

あっさり書かれていますがかなり恐ろしいことが垣間見える記事です。

ネットの中が社会を形成している以上、ネット上に警察官が必要な時代です。しかし国家権力ではネット上へ影響を及ぼしにくいため、マカフィーやトレ ンドマイクロのようなセキュリティ企業が防犯を商品化することになります。例えて言うとネット上に警察はいないけれど、セコムはある、といった状態です。

彼らも民間企業ですので利益を求めます。未修正の脆弱性に対して効果的な防御を提供することが彼らの価値であるとすれば当然に脆弱性情報を必要とします。公的機関ではないので市場原理によって脆弱性情報に高値が付けられて売買される事になります。この CNET Japan の記事はこのことを意味しています。

さらに極端な事を言うと、脆弱性の情報は違法に情報を抜き取ることを生業とするサイバー犯罪者に一定の需要があります。セキュリティ脆弱性はお金になるのです。

見つけたバグをAppleに報告して報奨金をもらうより、悪用を前提としたマーケットへ売るほうがお金になるのだとすれば、ハッカー達はそちらに売るかもしれません。

最終的に脆弱性情報は、犯罪者・Apple・セキュリティ企業といったマーケット参加者が付ける値段のうち一番大きいもので売買されるオークションのような市場を形成することになります。そしておそらく犯罪が有む利益はきっと大きいことでしょうのでそこは犯罪者に有利な市場です。

良心的なホワイトハッカーが発見したもの以外、多くの脆弱性が犯罪利用される可能性を常に秘めていることとなれば、ネット社会そのものを揺るがします。IoT が拡大する今後は、より一層深刻化するでしょう。

企業による報奨金制度だけではなく、脆弱性情報の売買や流通そのものに法規制を適用できれば良いのかもしれませんが、インターネット上の情報流通は国家の枠を超えるので規制も大変難しいです。

こんなものを売買の対象としていいのか、考えていかなければならないと思います。当面は、知識と技術を身につけて自己防衛する手立てを講じるしかないでしょう。

スポンサーリンク
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル(大)広告