ネット中核技術の脆弱性情報に賞金、MicrosoftとFacebookがスポンサー

[鈴木聖子，ITmedia]

　米MicrosoftとFacebookがスポンサーとなって、インターネットを構成する主要ソフトウェアの脆弱性を発見した研究者などに賞金を支払う「Internet Bug Bounty」プロジェクトが発足した。

　同プロジェクトを運営するのは「脆弱性情報公開がうまくいっていない現状に不満を持つハッカーと研究者のグループ」。FacebookやGoogle、Microsoftで賞金制度の運営にかかわった担当者や、脆弱性情報を提供してきた実績の持ち主などで構成する。そうした経験を基に、脆弱性情報の公開の在り方を改善させ、インターネットの安全性を高めることを目指す。

　最も高額な賞金が用意されているのは、Google Chrome、MicrosoftのInternet Explorer（IE）、Adobe ReaderおよびFlash Playerに実装されているセキュリティ機能「サンドボックス」回避の脆弱性。賞金額は5000ドル以上となる。また、DNSやSSLといったインターネットの中核技術の脆弱性についても5000ドル以上の賞金を贈呈する。

セキュリティを支える重要な技術の問題発見を促す

　このほかにはOpenSSL、Python、Ruby、php、Django、Rails、Perl、Phabricator、Nginx、Apache httpdが対象となる。賞金はそれぞれ300〜2500ドルから。