未知のぜい弱性を発見した瞬間ですが,私の場合は誰も知らないぜい弱性情報を手に入れることができたという喜びを感じます。変な例えで恐縮ですが,子供の頃にお店で某お菓子を見て「これにはキラキラシールが入っている気がする」と思い買って開けたら,本当にキラキラシールが入っていたという感じだと思ってください。未知のぜい弱性を見つけて数分ほどニヤニヤした後は,某カード会社のCMのように「どーすんの!?オレ」状態になります。私の場合,選択肢となるカードとしては「報告する」「公開する」「隠蔽(いんぺい)する」「悪用する」「売却する」「交換する」という6枚があります。

  1. 「報告する」カード:当該アプリケーションの作者やベンダー,もしくはIPAなどの公的な窓口に報告する
  2. 「公開する」カード:セキュリティ情報サイトやメーリングリストなどで公開して,多くの人に注意喚起する
  3. 「隠蔽する」カード:内緒にする。
  4. 「悪用する」カード:悪用して侵入したり,悪用してワームやウィルスを蔓延(まんえん)させる
  5. 「売却する」カード:オークションに出品して売却する
  6. 「交換する」カード:他のぜい弱性情報と交換する

 私は今のところ「悪用する」「売却する」「交換する」は本能的に避けているので選んだことはありません。

 ここからは少々気分を悪くする内容かもしれませんが,このような考え方をする「Finder」もいるという一例だと思ってください。ちなみにFinderとはぜい弱性発見者のことで,Bug Hunterと呼ばれることもあります。

 Finderがぜい弱性を探し出して何かしらの行動をし続けるためには,推進力となるものが必要となります。世のため人のためにぜい弱性を探し出してベンダーに報告するFinderがいたとしても,これをボランティア精神だけで続けるのは難しいと私は思います。偶然発見した場合や最初の数件はボランティア精神で報告することもありますが,時間をかけてぜい弱性を探し出した場合や複数のぜい弱性を発見した場合などは,非常に多くの労力が費やされています。そこまでの作業を続けるのは,ボランティア精神だけでは難しいと感じているからです。

 考えてみてください。数時間~数日間もかけてぜい弱性を探し出して報告しても,「それは申し訳ありませんでした。ご連絡,ありがとうございました」と作者やベンダーに感謝されて終わるだけでは,正直なところ,あまり苦労が報われたとは思えません。何らかの報酬が欲しいと思うのが普通ではないでしょうか。Finderは下記三つのうちから,いくつかを選んで何らかの報酬を得ることを推進力にすることが考えられます。

  1. 自分自身の宣伝行為に利用する
  2. 犯罪行為に利用する
  3. 収益行為に利用する

 ちなみに私の推進力は宣伝行為に利用することです。ぜい弱性情報のWebページに記載されているFinderの名前や所属する組織名に自分の名前を載せることで,セキュリティ技術者としての知名度を上げたいと思っているのです。

 例えば皆さんがセキュリティ技術者に仕事を依頼するとき,技術者の名前をGoogleなどで検索したとします。ほとんど検索結果がなかった技術者と,作者やベンダーが公開するぜい弱性情報にFinderとして名前が記載されている技術者,どちらに仕事を依頼したいでしょうか?私なら,作者やベンダーが公開するぜい弱性情報にFinderとして名前が記載されている技術者の方に,仕事を依頼すると思います。実際,これまでFinder活動が評価されて仕事を依頼されることがありました。

 推測ですが,私のようにぜい弱性情報に名前が載ることを目的に,ぜい弱性を発見報告している組織やFinderは多いと思います。売名行為と言われても仕方ありませんが,Finderがぜい弱性情報を作者やベンダーに報告したことで,ぜい弱性の悪用が多発する前に対策できた可能性はあるわけですから,これぐらいの報酬は暖かい目で見てほしいと思っています。

(次回につづく)
■著者 プロフィール
Eiji James Yoshida
1999年から今までに数多くの企業や省庁のセキュリティ診断を担当。主にセキュリティ・ホールや侵入技術の研究を手掛け、その研究成果を基にセキュリティ診断や教育、執筆活動を行っている。「セキュリティ徒然草」では、セキュリティ診断やセキュリティ・ホールに関する話題の他にも、セキュリティに関するよしなしごとをおもいのままに書き綴る。「penetration technique research site」や「Eiji James Yoshidaの記録」でも情報提供中。