スイスのWabiSabiLabi(WSLabi)は,セキュリティ・ホール情報の売買を目的としたオンライン・マーケットプレイスを開設した。「研究者やセキュリティ・ベンダー,ソフトウエア企業がオープンな市場でやり取りし,発見した成果をしかるべき対価に変えられる」(WSLabi)。6カ月間は無料で利用可能とする。
セキュリティ・ホールを発見した人は,まずWSLabiに情報を提出する。WSLabiは分析して最終的に実証コードの形態にした後,同マーケットプレイスに概要を掲載して“出品”する。オークション方式で買い手の入札を待つほか,価格を固定して買い手を募ることや,特定の買い手だけに販売することもある。
WSLabiによると,特定の1社にセキュリティ・ホール情報を売ると,価格は1件当たり300~1000ドルになるという。「当マーケットプレイスを利用すれば,同じ情報を10~20倍高く販売できる」(同社)。
なおマーケットプレイスを利用する際,売り手と買い手はそれぞれWSLabiに身元を登録しなければならない。情報掲載などはニックネームで行い,一般に公開しない。
米メディア(internetnews.com)によると,現在4件のセキュリティ・ホール情報がオークション中で,Linuxカーネルのメモリー・リーク関連情報に600ドルの入札1件があり,開始額2000ユーロ(約2724ドル)のYahoo! Messenger関連情報にはまだ入札がない状態という。
