2016年2月から3月にかけて話題になった「iPhone」のアンロックを巡るFBIと米Appleの対立の中で、脆弱性発見者へ報奨金を支払う「Bug Bounty Program(バグ発見報奨金制度)」が改めて注目を集めた。

 これは、自社のソフトウエアに存在するセキュリティ脆弱性の発見をハッカーに呼びかけるプログラムで、脆弱性を報告してくれたハッカーに報奨金を支払うというもの。「Bounty(報奨金)」は西部劇でよく出てくる言葉で、ならず者を捕まえたカウボーイが褒美の金をガッポリもらうといったイメージがある。西部劇の時代と同じように、ハッカーの世界でも賞金稼ぎができるというわけだ。日本語では、「バグ発見報奨金制度」とか「脆弱性発見報奨金制度」などと呼ばれている。

 FBI対Appleの問題でバグ発見報奨金制度が話題になったのはなぜか。FBIは死亡した銃乱射事件の容疑者が持っていたiPhoneに当初アクセスできず、またAppleの協力も得られなかった。そこでFBIはバグ発見報奨金制度の「コーディネーター」に依頼して、iPhoneをアンロックしてもらうのではないかと噂されたのである。

 バグ発見報奨金制度のコーディネーターとは、企業から同制度の構築を請け負い、ハッカーたちに参加を呼びかけ、賞金を渡すといった事業を営んでいる専門の会社のこと。こういった会社は何社かあり、既に一つの産業になっているようだ。結局は、FBIはバグ発見報奨金制度を利用するのではなく、イスラエル企業が提供するソフトウエアを使って、iPhoneをアンロックしたもようだ。

航空会社の米United Airlinesも導入

 バグ発見報奨金制度は現在、数多くの企業が導入している。米Microsoftや米GoogleのようなOSを提供するベンダーだけではない。米Facebookや米GitHub、米PayPalなどのネット企業はもちろんのこと、航空会社の米United Airlinesなども同制度を提供している。

 2016年3月には、脆弱性が指摘されながらもなかなか認めなかった米Uber Technologiesが、独自のバグ発見報奨金制度をスタートさせた。また、なんと米国の国防総省もこの3月に、同制度を始めると発表したばかりだ。

 もしかしたら、公にバグ発見報奨金制度を実施するのは「恥ずかしいこと」と感じる人もいるかもしれない。自社のシステムやソフトウエアに脆弱性があると認めているようなものだからだ。自分たちで作ったシステムに穴があるかもしれなくて、しかもそれを自分たちでは見つけられないので、得体の知れない外部の人々に「見つけてください」と頼むことは、従来の考え方ではあり得ないことだろう。