米iDefense Labsが2007年度第1四半期に開催する「Vulnerability Challenge」は,Windows VistaとMicrosoft Internet Explorer(IE) 7.0に特定のバグがあると発見した者に,8000~1万2000ドルの賞金を出すコンテストである。さらに,そのぜい弱性を悪用した効果的なエクスプロイト(実証コード)については,品質に応じて2000~4000ドルの賞金が出ることになっている。
Vulnerability Challengeのルールによると,「対象となるぜい弱性は,リモートから不正操作できるもので,Windows VistaとIE 7.0をインストールした後のデフォルトの状態で任意のコード実行が可能なものでなければならない」そうだ。さらに,「対象となるぜい弱性は,すべての利用可能なパッチや修正プログラムを適用済みの最新バージョンに存在している必要がある」。そして,「対象となるぜい弱性は,悪意のあるサイトの閲覧以外に,いかなるソーシャル・エンジニアリングも必要としてはいけない」とある。
iDefense(米VeriSign傘下)は,これらのぜい弱性データのカスタマーへの転売やコンテストの宣伝効果などによって,こうしたコンテストから利益を得ている。
ぜい弱性情報を販売するのは悪党たちも同じだ。iDefenseが欲する水準のぜい弱性を販売しようとしている人々についてのニュース記事は,恐らく読者の皆さんもいろいろなWebサイトで目にしたことがあるだろう。こうした悪党たちは,一番高いお金を出す者に効果的なエクスプロイトを販売するとよく言っている(彼らは,これ以下では売らないという最低価格を設定することもある)。筆者が目にした記事の1つによると,ある悪党は5万ドルでエクスプロイトを売ると申し出たそうである。効果的なエクスプロイト・コードに支払う金額としては,これは大金だ。
こうしたエクスプロイト・コードを購入する人は,間違いなくそれを利用して何らかの悪事,恐らく窃盗や詐欺行為で利益を得ることをたくらんでいるのだろう。従って,もしエクスプロイト・コードの売り手がそんな大金(あるいはその半額でも)を手にできるのであれば,そして買い手はそのエクスプロイト・コードを使って代金を回収できるのであれば,iDefenseのコンテストの勝者は善良な人,あるいはぜい弱性情報を売りつける手段を持たない人のいずれかということになる。
幸運なことに,自分たちが見つけたぜい弱性によって罪なき人々が食い物にされたら困るという理由だけで,自らの作品をiDefenseに販売する人も中にはいる。これは素晴らしい動機だ。だがセキュリティぜい弱性の発見者の多くは,罪なき人々のことなど気にかけていないことを私たちは肝に銘じておく必要がある。彼らが気にかけているのは,個人的な利益なのだ。こうした観点から見ると,最大で1万2000ドルというiDefenseの賞金はかなり安いものに思える。そして,非常に深刻なぜい弱性を見つけた人々にとって,それは魅力的な金額ではないかもしれない。
バグ探しコンテストを行っている会社は他に,米3Comと,米Mozilla Foundationがある。3Comの「Zero Day Initiative」はポイント制のプログラムで,多くのバグを投稿すればするほど,多くのポイントを受け取れる。稼いだポイントは現金やセキュリティ会議へのツアー参加などの特典と交換可能だ。Mozilla FoundationはMozillaのソフトウエアで発見されたバグ1つにつき,一律500ドルとTシャツを報酬として与えている。
これら3つのコンテストはすべて登場してからかなりの期間が経過しており,どれもが一定の成功を収めている。筆者が疑問に思っているのは,Microsoftはどうして同様のコンテストを開催しないのかということだ。自社製品のセキュリティを向上させるという同社の現在の取り組みにとって,コンテストの開催は素晴らしい追加要素になると筆者は思う。
