バグ懸賞ハンターのブーム来る
2015年3月27日 COREY NACHREINER 著
著者について: 数か月前に、InfoSec 関連の新しいサイトである Third Certainty についての記事とビデオをご紹介しました。セキュリティのニュースや分析を紹介するこのサイトには、プロフェッショナル向けの優れたリソースだけでなく、一般ユーザーにも役立つ情報が多く掲載されています。このサイトの責任者である Byron Acohido 氏は、ピューリッツァー賞も受賞した著名ジャーナリストで、難しい話題を誰でも理解できる読みやすい記事にまとめることで定評があります。無料のこの週間ニュースを購読し、技術者以外の方にもぜひこのサイトを勧めてください。
Acohido 氏は先日、バグ懸賞プログラムについての記事を発表しましたが、その記事のビデオにおいて、ゼロデイ脆弱性市場の弱点について解説しています。以下の記事全文と同氏のサイトで、詳細をご確認ください。
バグ懸賞ハンターのブーム来る
Byron Acohido(ThirdCertainty)著
企業をスポンサーとするバグ懸賞プログラムが、新たな形のサイバー攻撃を抑制する必要不可欠な手段となりました。
Google、Mozilla、Adobe、Facebook、Microsoft が、企業や一般ユーザーが毎日使うソフトウェアアプリケーションの新たなセキュリティホールを見つけたハッカーに対し、数万から数十万ドルの懸賞金を支払うことが当たり前になりました。
多くのハッカーが毎日、Windows、Mac OS、Android などの主要オペレーティングシステムや人気のあるソフトウェアアプリケーション、Web ブラウザやそこで動作する Adobe Flash や Java などのソフトウェアのまだ発見されていない脆弱性を見つけ出そうとしています。
オペレーティングシステムやアプリケーションのユーザーが増えれば増えるほど、その脆弱性を発見しようとするハッカーも多くなります。このような脆弱性は、ゼロデイ脆弱性、あるいは単にゼロデイと呼ばれています。そして、ゼロデイが発見されなくなることはなく、見つかるたびにパッチが必要になります。
セキュリティとプライバシー関連ニュースのまとめ: 重要なパターンやトレンドの最新情報
セキュリティ業界には、ホワイトハッカーと呼ばれる、どの組織にも属さずにゼロデイの発見をほぼ専門に行っている人たちがいます。脆弱性が見つかれば、その OS やアプリケーションの開発元である企業は、その新しいバグの報告を受け付け、ホワイトハッカーに対して相応の対価を支払います。そして、開発元の企業がパッチを作成し、そのパッチの適用を広く呼びかけることになります。
ブラックハッカーも、バグを発見して対価を受け取るという点は同じです。違いは、ブラックハッカーの場合は売り渡し先がサイバー犯罪組織であり、結果としてゼロデイが窃盗やスパイ活動に悪用されることになるという点です。
バグに懸賞金を出す 3 つ目のグループとして、米国などの政府機関が挙げられます。
犯罪組織と同様に、政府機関の場合もゼロデイのパッチを作成することが目的ではありません。その目的と理由については、WatchGuard Technologies のセキュリティ戦略担当ダイレクターである Corey Nachreiner が ThirdCertainty に対し、次のように具体的に解説してくれています。
政府機関の場合、ゼロデイの情報を常に蓄積しておくことで、敵対国への攻撃に備えます。現代のサイバー戦争では、ゼロデイを誰よりも早く発見して先手を打ちたいと考えない大国はいないでしょう。
「政府機関には武器が必要であるため、脆弱性が解決されないことが自分たちにとって優位に働きます」と Nachreiner は述べています。
危険性の認識
米国の企業は、政府機関が支援するハッカーからハッキングされる可能性があることを認識しており、多くの企業が自社の暗号化システムの強化を進めています。ニューヨーク・タイムズ誌の最近のレポートによれば、米国の諜報機関が企業の通信を引き続き傍受できるようにしようとする政府の動きに抵抗しています。政府の要請に一定の妥当性は認められるものの、企業にとっては脆弱性が高くなるという問題が残ります。
何よりも問題は、言うまでもなく、バグを見つけようと躍起になっているバグハンターが世界中にたくさん存在することです。
したがって、サイバー戦争に備えて政府が蓄積している脆弱性も、遅かれ早かれ誰かに見つけられてしまうだろうと、Nachreiner は述べています。
時間をかけて蓄積したセキュリティホールをブラックハッカーに見つけられてしまうのは、米国政府にとって望ましいことではありません。
犯罪グループがそのゼロデイを悪用し、誰にも知られないうちに被害がどんどん広まってしまう恐れがあります。
「これらの脆弱性を発見後にすぐに修正しなければ、いずれは、同じソフトウェアを使っている全員のセキュリティが脅かされることになるでしょう」と、Nachreiner は警告しています。