メッセンジャー内のビデオや音声通話を盗み聞きされるバグが発見 バウンティプログラムの現状は

メッセンジャー内のビデオや音声電話を盗み聞きされるバグの発見

バグバウンティプログラムとハッカーたち

 またFacebookは先日、バグバウンティプログラムの10周年を発表した。今回のメッセンジャーにおけるバグの発見はFacebookの過去バウンティ(賞金)の中でトップに入る60,000ドルが支払われた。発見者のNatalie SilvanovichをNPOに寄付したとツイートしている。バグバウンティプログラムとは脆弱性報奨金制度と呼ばれ、製品の脆弱性を外部に(主にホワイトハッカー)見つけてもらい報酬を支払うというプログラムだ。

 これはあらゆるテック企業では現在当たり前となっておりテック企業たちはそれぞれ独自のプログラムを発表している。Facebookは過去10年で107ヶ国から1500人もの発見者たちに報酬を支払ったと発表している。これらのバウンティプログラムをリストアップしまとめる企業、hackeroneのウェブサイトを見るとUber, Starbucks,  Spotify, Twitterなどあらゆる有名企業がリストアップされている。

メリット・デメリット

 バウンティプログラムはホワイトハッカーたちの収入や技術開発・向上だけではなく企業側にも多くのメリットがある。例えば、開発者側からだけでは見落としがちなバグや複雑化する外部のシステムとの関係性からしか見えない視点を利用することができ、また、社内にホワイトハッカーたちのチームを設備するよりも外部にアウトソースしたほうがコストを抑えることができる。これらはすべてセキュリティや製本の品質向上に欠かせない部分であり、日本でもバウンティプログラムを取り入れる企業が増えている。

例)
・LINE Security Bug Bounty Program
https://bugbounty.linecorp.com/ja/
・PlayStation
https://blog.ja.playstation.com/2020/06/25/20200625-bugbounty/

 これらのプログラムやバグを悪用し高額の報酬を脅迫するハッカーなどが現れることもあり、決していつも成功する方法ではない。しかし、このように企業外部のハッカーや開発者たちが関わっていくことで自分たちのネット環境を向上していけることは、私たちがテック企業のユーザーになるだけではなく、こちら側からも相互的な関係を築けるというエンパワーメント的な関係性の構築につながっていくのではないだろうか。

■mugiho
ニュージーランドの大学でマオリ文化の発展・都市計画・教育について学びながら映画、テック、文化芸術について執筆するフリーライターと翻訳家。人間観察をしながらたまにそれらについて書いたり撮ったりしている。

参照
https://threatpost.com/facebook-messenger-bug-spying-android/161435/
https://www.hackerone.com/
https://www.bleepingcomputer.com/news/security/facebook-messenger-bug-allowed-android-users-to-spy-on-each-other/
https://googleprojectzero.blogspot.com/
https://www.wired.com/2014/07/google-project-zero/
https://www.zdnet.com/article/facebook-messenger-bug-could-have-allowed-hackers-to-spy-on-users/
https://bugbounty.linecorp.com/ja/
https://blog.ja.playstation.com/2020/06/25/20200625-bugbounty/

関連記事

インタビュー

もっとみる

Pick Up!

「コラム」の最新記事

もっとみる

blueprint book store

もっとみる