Facebook、深刻な脆弱性報告に「過去最高」の報奨金贈呈

「たった3万3500ドル？　Facebookほどの規模のインフラに存在するこれほど重大な脆弱性に、15万ドル以下なんて考えられない」という声もー―。

[鈴木聖子，ITmedia]

　米Facebookは1月23日、同社のインフラに影響する極めて重大な脆弱性を発見・報告した研究者に、同社として過去最高額の報奨金を贈呈したと発表した。ただ、この金額について疑問視する声も上がっている。

　Facebook Bug Bountyのブログによると、報告は研究者のレジナルド・シルバ氏から2013年11月に寄せられた。この問題を悪用された場合、Webサーバ上の任意のファイルを読まれる恐れがあることが判明。同社は報告に添えられていたコンセプト実証コードを使って脆弱性の存在を確認すると、担当者を呼び出して直ちに緊急対応に乗り出したという。

　まず問題を修正するパッチを開発し、「Takedown」というツールを使って社内の全Webサーバにパッチを配信。報告を受けてから3時間半で短期的な対策を済ませたとしている。

　次のステップとして、脆弱性が生じた原因や、コードベースの他の部分にも存在していないかどうか、今後取るべき対策などについても検証した。同時にこの問題に関するログを調べ、脆弱性が悪用されていないことを確認したとしている。

　シルバ氏に支払った報奨金についてFacebookは、「この問題の重大性に鑑みて、多額を支払いたいと考えた。賞金は、正しい行動をした研究者の労に報いるよう設定している」と説明している。

Facebookのコメント

　具体的な金額は公表されていないものの、報道によればシルバ氏に払われたのは3万3500ドル。この金額についてFacebookブログのコメント欄には、「たった3万3500ドル？　Facebookほどの規模のインフラに存在するこれほど重大な脆弱性に、15万ドル以下なんて考えられない」「ブラックマーケットに行けばもっと多額を得られたはずなのに、レジナルド氏は正しいことをした。Facebook本社に招待して感謝したっていいはずだ」といったコメントが相次いでいる。