ニュース
ネット中核技術の脆弱性情報に賞金、MicrosoftとFacebookがスポンサー
インターネットを構成する主要ソフトウェアの脆弱性を発見した研究者などに賞金を支払う「Internet Bug Bounty」プロジェクトが発足した。
米MicrosoftとFacebookがスポンサーとなって、インターネットを構成する主要ソフトウェアの脆弱性を発見した研究者などに賞金を支払う「Internet Bug Bounty」プロジェクトが発足した。
同プロジェクトを運営するのは「脆弱性情報公開がうまくいっていない現状に不満を持つハッカーと研究者のグループ」。FacebookやGoogle、Microsoftで賞金制度の運営にかかわった担当者や、脆弱性情報を提供してきた実績の持ち主などで構成する。そうした経験を基に、脆弱性情報の公開の在り方を改善させ、インターネットの安全性を高めることを目指す。
最も高額な賞金が用意されているのは、Google Chrome、MicrosoftのInternet Explorer(IE)、Adobe ReaderおよびFlash Playerに実装されているセキュリティ機能「サンドボックス」回避の脆弱性。賞金額は5000ドル以上となる。また、DNSやSSLといったインターネットの中核技術の脆弱性についても5000ドル以上の賞金を贈呈する。
このほかにはOpenSSL、Python、Ruby、php、Django、Rails、Perl、Phabricator、Nginx、Apache httpdが対象となる。賞金はそれぞれ300〜2500ドルから。
関連記事
- 「脆弱性情報に賞金を払う制度に効果あり」 米カリフォルニア大が研究報告
GoogleやMozillaが実施している報奨金制度は、「フルタイムのセキュリティ研究者を雇用するのに比べると経済効率が高い」という。 - Google、脆弱性情報に支払う賞金を一挙に増額
これまで賞金1000ドルとしていたレベルについて、最高額を一挙に5倍の5000ドルへとアップした。 - Microsoft、IE 11の脆弱性情報に総額2万8000ドルの賞金贈呈
日本人と思われる「キヌガワ・マサト」氏も、2件の脆弱性を報告して2200ドルを進呈されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.