マイクロソフト創業者といえばビル・ゲイツが有名ですが共同で事業を立ち上げたのがポール・アレンです。ポール・アレンはマイクロソフトを発展させ、大資産家となります。マイクロソフトを辞めた後、資産をもとに多彩な活動をしていましたが、その一つが戦没した戦艦の深海調査。戦艦「武蔵」発見は日本でも大きく報道されました。
脆弱性報奨金制度がある
この賞金稼ぎですがセキュリティの世界でもあり、それが脆弱性報奨金制度です。プログラムは何百万もの命令から構成されています。人が作りますので必然的にミスがあり、これがバグになります。不具合が出た場合は事象として顕在化するのでバグを修正できますが、やっかいなのが脆弱性です。脆弱性がひそんでいてもプログラムはちゃんと動いていますので、なかなか分かりません。
そこで生まれたのが脆弱性報奨金制度(バグバウンティプログラム)です。ホワイトハッカーにプログラムの脆弱性を見つけてもらい報奨金を支払う制度です。ホワイトハッカーとはセキュリティ技術に精通したエンジニアのことで、もともとハッカーという言葉で使われていました。ところがハッカーという言葉にサイバー攻撃の攻撃者イメージがあるためホワイトハッカーという言い方をしています。攻撃者は「ブラックハッカー」、「クラッカー」と呼んで区別しています。
脆弱性報奨金制度の初期の頃は牧歌的な時代で、ネットスケープ社では脆弱性の報告があるとロゴ入りマグカップとTシャツのノベルティを贈呈していました。これがどんどん高額化していきます。もちろん脆弱性の深刻度が高いほど報奨金の金額も大きくなります。
脆弱性発見で一攫千金
グーグルでは1件のバグに対して5百ドル~1万5千ドルの報奨金を支払っています。2019年には総額で650万ドル(約7億円)を支払い、最高額は20万ドル(約2200万円)でした。マイクロソフトのWindws10では重点分野に関しては5千ドル~25万ドルで募集しています。日本の企業も取り入れておりサイボウズでは上限100万円で脆弱性情報を募集しています。「三人寄れば文殊の知恵」ではありませんが、たくさんの人に脆弱性を見つけてもらっています。自前で脆弱性をチェックしようと思うと企業で人材を雇い育成しなければなりませんので、多額な費用がかかるため結果的に安上がりな面もあります。
高額で脆弱性情報を買い取りしてくれるのであれば、裏のネット社会で販売するインセンティブがなくなり、それだけ攻撃を減らす効果もあります。
多くの企業ではサーバーにIPS(不正侵入防止システム)を導入しています。脆弱性情報を買い取る企業のなかにはIPSメーカーもいます。他に知られていない脆弱性情報が分かり、最初に対応できれば競合他社の商品に対して差別化できます。一般への脆弱性周知が遅れる面もあり、賞金稼ぎの世界はやはりシビアです。