ニュース
» 2014年01月24日 07時39分 UPDATE

Facebook、深刻な脆弱性報告に「過去最高」の報奨金贈呈

「たった3万3500ドル? Facebookほどの規模のインフラに存在するこれほど重大な脆弱性に、15万ドル以下なんて考えられない」という声もー―。

[鈴木聖子,ITmedia]

 米Facebookは1月23日、同社のインフラに影響する極めて重大な脆弱性を発見・報告した研究者に、同社として過去最高額の報奨金を贈呈したと発表した。ただ、この金額について疑問視する声も上がっている。

 Facebook Bug Bountyのブログによると、報告は研究者のレジナルド・シルバ氏から2013年11月に寄せられた。この問題を悪用された場合、Webサーバ上の任意のファイルを読まれる恐れがあることが判明。同社は報告に添えられていたコンセプト実証コードを使って脆弱性の存在を確認すると、担当者を呼び出して直ちに緊急対応に乗り出したという。

 まず問題を修正するパッチを開発し、「Takedown」というツールを使って社内の全Webサーバにパッチを配信。報告を受けてから3時間半で短期的な対策を済ませたとしている。

 次のステップとして、脆弱性が生じた原因や、コードベースの他の部分にも存在していないかどうか、今後取るべき対策などについても検証した。同時にこの問題に関するログを調べ、脆弱性が悪用されていないことを確認したとしている。

 シルバ氏に支払った報奨金についてFacebookは、「この問題の重大性に鑑みて、多額を支払いたいと考えた。賞金は、正しい行動をした研究者の労に報いるよう設定している」と説明している。

fbbg01.jpg Facebookのコメント

 具体的な金額は公表されていないものの、報道によればシルバ氏に払われたのは3万3500ドル。この金額についてFacebookブログのコメント欄には、「たった3万3500ドル? Facebookほどの規模のインフラに存在するこれほど重大な脆弱性に、15万ドル以下なんて考えられない」「ブラックマーケットに行けばもっと多額を得られたはずなのに、レジナルド氏は正しいことをした。Facebook本社に招待して感謝したっていいはずだ」といったコメントが相次いでいる。

関連キーワード

Facebook | 脆弱性


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -