脆弱性報奨金制度

脆弱性報奨金制度（ぜいじゃくせいほうしょうきんせいど、英: bug bounty program）は、製品やサービスを提供する企業が、その製品の脆弱性（特にエクスプロイトやセキュリティホールなど）に関する報告を外部の専門家や研究者から受け、その対価として報奨金を支払う制度^[1][2]。この制度を利用することで、開発者は一般のユーザーが気付く前にバグを発見し、対処できるため、広範囲に渡る可能性のあるインシデントを事前に防げる。MozillaやFacebook、Yahoo!、Google、マイクロソフト、日本ではサイボウズやピクシブ、LINEなど、多くのウェブサイトや組織、ソフトウェア開発者が導入している。バグバウンティプログラムやバグ報奨金プログラムとも呼ばれ、導入する組織によっては独自の制度名が付けられている場合もある。

歴史

1983年、リアルタイムオペレーティングシステムであるVersatile Real-Time Executive（英語版）向けの脆弱性報奨金制度が、システムを開発したハンターとレディによって開始された。この制度が初めて適用された事例として知られており、脆弱性の発見者には、見返りとして「バグ」の通称でも知られるフォルクスワーゲン・タイプ1（ビートル）が贈られた^[3]。

1995年、ネットスケープコミュニケーションズのテクニカルサポートエンジニアであるJarrett Ridlinghaferが、「バグバウンティ」(Bugs Bounty) という言葉を造った。ネットスケープは従業員に対し、自分自身を追い込み、仕事を成し遂げるために必要なことは何でも実行するよう奨励していた。Ridlinghaferは、ネットスケープには多くの製品愛好家や伝道者が存在することを認識しており、その一部はネットスケープのブラウザに熱狂的であると考えていた。この現象をより詳細に調査すると、熱心な人の多くはソフトウェアエンジニアであり、製品のバグを自ら修正し、ネットスケープのテクニカルサポート部門によって設置されたオンラインのフォーラムや、「Netscape U-FAQ」といった非公式のFAQサイトを立ち上げ、バグの修正や回避方法を公開していると分かった。Ridlinghaferは、企業がこれらのリソースを活用するべきと考え、「ネットスケープ バグバウンティプログラム」(Netscape Bugs Bounty Program) を提案。同年10月10日、Netscape Navigator 2.0 ベータ版ブラウザ向けの最初の制度を開始した^[4][5]。当初はノベルティグッズといった景品が贈られていたが、その後はハッキングコンテストの開催など規模を大きくし、高額な賞金が贈られるようになった^[2]。

脆弱性の開示方針に関する論争

Facebookの脆弱性開示

バグを報告する研究者に与えられるFacebookの「ホワイトハット」デビットカード（2014年に発行停止）

2013年8月、パレスチナの研究者Khalil Shreatehが、誰でも任意のFacebookアカウントに動画を投稿できる脆弱性を報告した。ShreatehとFacebook間の電子メールによると、ShreatehはFacebookの脆弱性報奨金制度「ホワイトハット」を利用して脆弱性を報告したが、「バグではない」と否定された。後にShreatehは、この脆弱性を悪用し、マーク・ザッカーバーグのFacebookプロフィール上にこれまでの経過についてを投稿したが、Shreatehのアカウントは一時的に無効化された。当該の脆弱性は修正されたものの、Shreatehの報告は制度の規定に違反しているとして、報奨金は支払われなかった^[6][7][8]。

Uberの情報漏洩事件

→「Uber § データ漏洩の公表遅延」も参照

2016年、Uberの乗客とドライバー約5700万人の個人情報が漏洩するセキュリティインシデントが発生した。Uberは事件についてユーザーや当局に隠蔽したまま、攻撃者に対し、漏洩の事実を口外しないことやデータの削除と引き換えに、10万ドルを支払ったとしている^[9][10]。この事件への対応の一環として、UberはHackerOne（英語版）と協力して制度のポリシーを更新し、善意による脆弱性の調査と開示について、行動の制約をより明確に規定した^[11]。

ストアクレジットを提供した事例

Yahoo!では、自社サービスにおける脆弱性の発見や報告への対価として、セキュリティ研究者へYahoo!のオリジナルTシャツを贈ったことで厳しく非難され、「Tシャツゲート」(T-shirt-gate) と呼ばれ、注目を集めた^[12]。スイスジュネーヴに本社を置くセキュリティ関連企業であるHigh-Tech Bridgeは、「Yahoo!は報告を受けた脆弱性1件に対し、Tシャツやカップ、ペンなどYahoo!ブランドの商品の購入に使用できる12.50ドルのストアクレジットを提供している」という内容のプレスリリースを発行した。Yahoo!のセキュリティチームの責任者であるRamses Martinezは、後にブログにおいて、「（脆弱性の報告に対して報酬を贈るような）正式なプロセスが無く、個人的な『感謝』としてTシャツを送り始めた。基本的に自費で購入していた。」と主張している^[13]。また、すでにTシャツを所持している者に対しては、ギフト券や手紙を送ったとしている。2013年10月31日、Yahoo!は新しい脆弱性報奨金制度を開始。これにより、セキュリティの研究者はバグを報告し、判明したバグの重大度に応じて、250ドルから最大1万5000ドルの報奨金を受け取れるようになった^[14]。

同様の事例として、マレーシアの産業用制御システム (ICS) を開発するEcava（英語版）が2013年に本制度を開始したとき^[15][16]、セキュリティの研究者に現金の代わりとして、ストアクレジットを贈ったことで批判された^[17]。Ecavaは批判に対し、この制度は当初、限定的に運用することを意図しており、ICSソフトウェアであるIntegraXor SCADA（英語版）のユーザーに対する安全の観点に焦点を当てたと説明している^[15][16]。

制度の地理的な広がり

本制度の利用は世界的にも広がりを見せているが、一握りの国がより多くのバグを報告し、より多くの報奨金を受け取る傾向がある。特に、アメリカとインドは研究者によるバグ報告数が多く^[18]、2018年に発行されたハッカーレポートによると、バグハンター（脆弱性を探す研究者）の多さは、インドが世界で1番、もしくは2番目に位置する^[19]。Facebookの制度上においても、2017年に有効とされた報告件数が最も多かった国はインドであり、アメリカとトリニダード・トバゴが続いた^[20]。

著名な制度の例

Google VRP

GoogleはChromeウェブブラウザのセキュリティ強化に向けて、2010年に本制度を試験的に導入した^[21]。2013年10月、Googleは制度「Vulnerability Reward Program」(VRP) の大きな変更を発表した。これまでは多くのGoogle製品を網羅する制度であったが、この移行により、主にコンピュータネットワーク用または、低レベルのオペレーティングシステム機能用に設計された、リスクの高いオープンソースソフトウェアやライブラリを含むように拡張。2017年には、Google Play ストアから入手できるサードパーティー製のアプリケーションも含むよう制度を拡張した^[22]。2010年に制度を開始して以来、2019年までに報奨金として合計2100万ドル以上、2019年は例年のおよそ2倍となる650万ドルを支払っている^[23]。

The Internet Bug Bounty

マイクロソフトとFacebookは2013年11月に提携し、インターネットに関連する様々なソフトウェアのエクスプロイトを報告することで報酬を提供するプログラム「The Internet Bug Bounty」(IBB) を後援している^[24]。2017年にはGitHubとフォード財団も後援に加わり、Uberやマイクロソフト、Facebook、アドビシステムズ、HackerOne、GitHub、NCC Group、Signal Sciencesなどのボランティアによって管理されている^[25]。IBBは、Adobe FlashやPython、Ruby、PHP、Django、Ruby on Rails、Perl、OpenSSL、nginx、Apache HTTP Server、Phabricatorといったソフトウェアを網羅するだけでなく、広く使用されているオペレーティングシステムやウェブブラウザなど、インターネット全体に影響を与えるようなエクスプロイトに対する報酬を提供している^[26]。

Hack the Pentagon

本制度はテクノロジー業界に留まらず、アメリカ国防総省 (DoD) のような保守的な組織においても利用されている。2016年3月、ピーター・クックはDoDにとって最初の制度である「Hack the Pentagon」を発表した^[27][28]。制度は同年4月18日から5月12日までの期間限定で実施され、1400人以上のユーザーがHackerOneを通じ、138件の有効な脆弱性の報告を行った。DoDは合計で7万1200ドルを支払った^[29][30]。