米VeriSign傘下のiDEFENSEはこのほど,米Microsoft製品のバグ発見者に対し,そのバグがMicrosoftのセキュリティ情報で深刻度「緊急」に分類されたら1万ドルの賞金を出す,と発表した。ただし1つだけ条件がある。米東部標準時で2006年3月31日の深夜までにバグの発見を報告しなければならない。

 これまでもiDEFENSEは,セキュリティ・ホールの報告者に何回か賞金を支払ってきた。そしてiDEFENSEは今回,賞金制度を若干拡大しようとしている。iDEFENSEの広報担当者は,「今後は四半期ごとに賞金の対象を変え,賞金に値するセキュリティ・ホールの発見に適用するルールの概要を示す」と話した。

 現在,セキュリティ・ホールに関する情報と実証コードを取引する地下市場が存在し,その規模が拡大している。iDEFENSEはこの市場と戦っているのだ。地下市場に売り出される情報と実証コードは,最高額を提示してほかの購入希望者に競り勝った人物だけに渡ることもあれば,言い値を払った全員に売られることもある。

 セキュリティ・ベンダーのロシアKaspersky Labによると,2005年12月に表沙汰となったWindowsメタ・ファイル(WMF)のセキュリティ・ホールは,悪用する実証コードが公表前に販売されていたという。

 Kaspersky Labの広報担当者は,「2005年12月中頃には,実証コードは多くのハッカー関連サイトで購入できる状態になっていた」と述べた。「2つか3つのロシア系ハッカー・グループが,実証コードを4000ドルで売っていたようだ。購入者の1人はアドウエア/スパイウエア犯罪に手を染めており,この実証コードが世間に知られるようになったらしい。セキュリティ・ホールの第一発見者について,我々は情報を持っていない。実証コードの作成と配信,その後の改造にかかわった人物だけは知っている。我々の情報とロシアの関与ということから明確に分かるのは,このセキュリティ・ホールの情報が米eEye Digital Securityや当社のようなセキュリティ企業に渡らなかったということだ」(Kaspersky Labの広報担当者)。