1: 夜更かしフクロウ ★ 2014/11/02(日) 09:06:16.51 ID:???.net
http://www.yomiuri.co.jp/it/security/snews/20141031-OYT8T50180.html
プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。
IT企業が始めたそんな試みが注目されている。
バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、
その情報は攻撃者の間で高値で売買されている。
そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。
脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子)
■外部通報に報奨金も
「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」
東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。
自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。
これまで技術者や学生から200件以上の報告があり、約100件を脆弱性と認定、約810万円の支払いを決めた。
報告を受けると、その内容を社内のチームで検証、修正プログラムを用意した上で公表する。
制度導入後、外部からの通報は3倍以上に増えた。
その対応も大変だが、「客から『そんなに欠陥が見つかるなんて、危ない会社なのか』と誤解されるのがつらいところ」(伊藤さん)。
導入前には社内でも「会社の信用を落とす」との異論があったという。
だが、伊藤さんらは「脆弱性を放置するより、積極的に見つけて直す方が安全なんだと理解してもらおう」と説得して踏み切った。
■サイバー攻撃激化背景に
報奨金制度は国内では珍しいが、海外では何年も前から広がっている。
米ソフト開発のモジラが2004年に始め、今ではグーグルやペイパル、マイクロソフトなども実施。
発見者と企業を仲介する脆弱性報告サイトも次々登場している。
中には1万ドル以上で買い取られる情報もあり、高額賞金を狙う「バグ・ハンター」と呼ばれる人たちもいる。
企業が金を払ってでも脆弱性情報を入手しようとする背景にはサイバー攻撃の深刻化がある。
「まだ存在を知られていない脆弱性を使うと、対策が講じられていないため攻撃が成功しやすい。このため脆弱性情報の価値が上がっている」
とサイバーディフェンス研究所の名和利男理事はみる。
自分たちがみつけた脆弱性情報を売買する闇サイトは名和氏が確認しただけで数千件あり、
日本円で十数万〜数十万円に相当するビットコインで売られているという。
こうしたブラックマーケットは年間数千億円規模との見方もあり、
「社会が脆弱性を発見する行為を高く評価しないと、どんどん裏の世界に流れてしまう」と懸念する。
イラスト:攻撃を防ぐため外部の目を借りて脆弱性を早く修正する仕組み
引用元: http://anago.2ch.sc/test/read.cgi/bizplus/1414886776/プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。
IT企業が始めたそんな試みが注目されている。
バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、
その情報は攻撃者の間で高値で売買されている。
そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。
脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子)
■外部通報に報奨金も
「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」
東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。
自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。
これまで技術者や学生から200件以上の報告があり、約100件を脆弱性と認定、約810万円の支払いを決めた。
報告を受けると、その内容を社内のチームで検証、修正プログラムを用意した上で公表する。
制度導入後、外部からの通報は3倍以上に増えた。
その対応も大変だが、「客から『そんなに欠陥が見つかるなんて、危ない会社なのか』と誤解されるのがつらいところ」(伊藤さん)。
導入前には社内でも「会社の信用を落とす」との異論があったという。
だが、伊藤さんらは「脆弱性を放置するより、積極的に見つけて直す方が安全なんだと理解してもらおう」と説得して踏み切った。
■サイバー攻撃激化背景に
報奨金制度は国内では珍しいが、海外では何年も前から広がっている。
米ソフト開発のモジラが2004年に始め、今ではグーグルやペイパル、マイクロソフトなども実施。
発見者と企業を仲介する脆弱性報告サイトも次々登場している。
中には1万ドル以上で買い取られる情報もあり、高額賞金を狙う「バグ・ハンター」と呼ばれる人たちもいる。
企業が金を払ってでも脆弱性情報を入手しようとする背景にはサイバー攻撃の深刻化がある。
「まだ存在を知られていない脆弱性を使うと、対策が講じられていないため攻撃が成功しやすい。このため脆弱性情報の価値が上がっている」
とサイバーディフェンス研究所の名和利男理事はみる。
自分たちがみつけた脆弱性情報を売買する闇サイトは名和氏が確認しただけで数千件あり、
日本円で十数万〜数十万円に相当するビットコインで売られているという。
こうしたブラックマーケットは年間数千億円規模との見方もあり、
「社会が脆弱性を発見する行為を高く評価しないと、どんどん裏の世界に流れてしまう」と懸念する。
イラスト:攻撃を防ぐため外部の目を借りて脆弱性を早く修正する仕組み
2: 夜更かしフクロウ ★ 2014/11/02(日) 09:06:36.32 ID:???.net
■「理不尽な対応も多い」
日本人バグ・ハンターの一人、東内(とうない)裕二さん(40)に話を聞いた。
これまで、米ヤフーやグーグルなどの脆弱性を報告して100万円以上の賞金や、
企業ロゴの入ったTシャツやボールペンなどの記念品を受け取った。
現在無職なので小遣い稼ぎの感覚もあるが、脆弱性を探すことは単純に楽しいし、通報した結果、安全になるならうれしいと思うから。
でも、日本は体制が整っていないので通報しにくい。
特に、サイトの脆弱性の場合、理不尽な対応も多い。
運営者に通報しようにも専用窓口がなく、代表電話の受付に説明しても話は通じないし、
ようやく技術部門につなげてもらっても、無視されることも。
不正アクセス禁止法に触れない範囲でチェックしているが、それでも犯罪者のようにあしらわれることもある。
僕は別にお金をもらえなくても、Tシャツとかの記念品でもいいし、サイトに謝辞を掲載してもらうだけでもいい。
ようは感謝してほしいだけ。
脆弱性報告サイトの一つ、HackerOne。
東内さんはヤフーの賞金獲得ランキング5位に
海外には、見つけた脆弱性の危険度や難易度などを評価したランキングサイトもある。
上位者は仲間内で尊敬されたり、一流企業から勧誘されたりするので、もっと探そうという動機付けになる。
脆弱性を探す行為に敬意を表することが、情報を悪いサイドに流さないだけでなく、若い技術者の育成にもつながるのではないか。
<脆弱性>
バグや仕様上の欠陥のために生じるセキュリティー上の弱点。
第三者にはできないはずの操作ができたり、見えないはずの情報が見えたりするため攻撃に悪用されやすい。
バグが見つかるのは珍しいことではなく、マイクロソフトは年100件前後を公表し、
その都度、修正プログラムを配布して利用者に更新を求めている。
写真:脆弱性を探す東内さん(23日、都内で)
日本人バグ・ハンターの一人、東内(とうない)裕二さん(40)に話を聞いた。
これまで、米ヤフーやグーグルなどの脆弱性を報告して100万円以上の賞金や、
企業ロゴの入ったTシャツやボールペンなどの記念品を受け取った。
現在無職なので小遣い稼ぎの感覚もあるが、脆弱性を探すことは単純に楽しいし、通報した結果、安全になるならうれしいと思うから。
でも、日本は体制が整っていないので通報しにくい。
特に、サイトの脆弱性の場合、理不尽な対応も多い。
運営者に通報しようにも専用窓口がなく、代表電話の受付に説明しても話は通じないし、
ようやく技術部門につなげてもらっても、無視されることも。
不正アクセス禁止法に触れない範囲でチェックしているが、それでも犯罪者のようにあしらわれることもある。
僕は別にお金をもらえなくても、Tシャツとかの記念品でもいいし、サイトに謝辞を掲載してもらうだけでもいい。
ようは感謝してほしいだけ。
脆弱性報告サイトの一つ、HackerOne。
東内さんはヤフーの賞金獲得ランキング5位に
海外には、見つけた脆弱性の危険度や難易度などを評価したランキングサイトもある。
上位者は仲間内で尊敬されたり、一流企業から勧誘されたりするので、もっと探そうという動機付けになる。
脆弱性を探す行為に敬意を表することが、情報を悪いサイドに流さないだけでなく、若い技術者の育成にもつながるのではないか。
<脆弱性>
バグや仕様上の欠陥のために生じるセキュリティー上の弱点。
第三者にはできないはずの操作ができたり、見えないはずの情報が見えたりするため攻撃に悪用されやすい。
バグが見つかるのは珍しいことではなく、マイクロソフトは年100件前後を公表し、
その都度、修正プログラムを配布して利用者に更新を求めている。
写真:脆弱性を探す東内さん(23日、都内で)
3: 名刺は切らしておりまして 2014/11/02(日) 09:14:36.94 ID:EvLB6ds5.net
おたくの使ってる環境そのままだとやばいですよって親切に指摘しただけなのに
> 犯罪者のようにあしらわれる
とかすげーな
> 犯罪者のようにあしらわれる
とかすげーな
5: 名刺は切らしておりまして 2014/11/02(日) 09:17:45.65 ID:lHTMsrZ+.net
>>3
つ 岡崎図書館事件
つ 岡崎図書館事件
11: 名刺は切らしておりまして 2014/11/02(日) 09:34:02.25 ID:EvLB6ds5.net
そうだお約束のアレ忘れてた
き、脆弱性
>>5
あれはひどかった
三菱だっけか
よくあんなシステムで金とるよな
き、脆弱性
>>5
あれはひどかった
三菱だっけか
よくあんなシステムで金とるよな
4: 名刺は切らしておりまして 2014/11/02(日) 09:16:52.67 ID:CmitppAU.net
ハッカーサイトで誰かがバグ報告→コピペして報奨金
6: 名刺は切らしておりまして 2014/11/02(日) 09:24:19.48 ID:2Wdd/Wx+.net
俺もアカウント系サイトの開発請け負ってるが
報告してくれたら個人的に1万くらいなら出すわ
報告してくれたら個人的に1万くらいなら出すわ
7: 名刺は切らしておりまして 2014/11/02(日) 09:25:40.48 ID:jh//UJmZ.net
×IT土方
○IT奴隷
小銭でデバッグしてもらおうとか片腹痛いわ
○IT奴隷
小銭でデバッグしてもらおうとか片腹痛いわ
16: 名刺は切らしておりまして 2014/11/02(日) 09:41:32.41 ID:mDPtDvwA.net
「穴を発見!」
「仕様です」
「仕様です」
22: 名刺は切らしておりまして 2014/11/02(日) 10:16:02.28 ID:hCNs6blX.net
>>これまで技術者や学生から200件以上の報告があり、
約100件を脆弱性と認定、約810万円の支払いを決めた。
見つけたところではした金じゃないか
割りにあわない
約100件を脆弱性と認定、約810万円の支払いを決めた。
見つけたところではした金じゃないか
割りにあわない
38: 名刺は切らしておりまして 2014/11/02(日) 11:01:04.42 ID:XDwhuyIt.net
>>22
たぶん、同じ手法で複数のシステムから発見できるんじゃないかね。
食っていけるかはどうかわからんが。
のぞき見対策だと、部屋の中から見える危険ポイントを探すのがデバッグで
外から見えそうな場所を探すのがこれ、という感じか。
たぶん、同じ手法で複数のシステムから発見できるんじゃないかね。
食っていけるかはどうかわからんが。
のぞき見対策だと、部屋の中から見える危険ポイントを探すのがデバッグで
外から見えそうな場所を探すのがこれ、という感じか。
45: 名刺は切らしておりまして 2014/11/02(日) 12:06:38.14 ID:hCbKu64s.net
>>22
ゲーム感覚でやってる連中からしたらいいお小遣いだろ
ゲーム感覚でやってる連中からしたらいいお小遣いだろ
41: 名刺は切らしておりまして 2014/11/02(日) 11:19:53.72 ID:4fufQf7C.net
ボランティアのテスターですね、わかります><
42: 名刺は切らしておりまして 2014/11/02(日) 11:35:18.98 ID:OBPIZh++.net
というか私立探偵みたいなかんじ
43: 名刺は切らしておりまして 2014/11/02(日) 12:00:05.10 ID:z0cV+88e.net
fortifyとか使えば完璧なのに
50: 名刺は切らしておりまして 2014/11/02(日) 12:32:39.44 ID:f+2jgYVI.net
仮に脆弱性が見つかっても相手企業に直接言うのはおかしいだろ
近所のおばちゃんに「あんたんち外出してるのにドア閉めてないわよ」って言われたら怖いわ
こういう場合は交番なんか言った方がマシだと思う
ITセキュリティ関係ならIPAにメールすりゃいい
近所のおばちゃんに「あんたんち外出してるのにドア閉めてないわよ」って言われたら怖いわ
こういう場合は交番なんか言った方がマシだと思う
ITセキュリティ関係ならIPAにメールすりゃいい
52: 名刺は切らしておりまして 2014/11/02(日) 12:36:10.59 ID:Ry6RdoYl.net
たったの100万円(しかも最大)で仕事するかボケ。
55: 名刺は切らしておりまして 2014/11/02(日) 12:48:45.66 ID:aAPUP/Ba.net
日曜プログラマーだけど、脆弱性ってどういうのなん?
SQLインジェクションみたいな初歩的なものは、大抵の言語はクラスライブラリで対応してるだろうし
SQLインジェクションみたいな初歩的なものは、大抵の言語はクラスライブラリで対応してるだろうし
59: 名刺は切らしておりまして 2014/11/02(日) 12:56:04.62 ID:g4qRJr3r.net
>>55
XSS(クロスサイト・スクリプティング)とか
ある程度は防げるけど、意外と抜けている面が多い
XSS(クロスサイト・スクリプティング)とか
ある程度は防げるけど、意外と抜けている面が多い
62: 名刺は切らしておりまして 2014/11/02(日) 13:11:06.51 ID:ok+SOo+s.net
企業の頭の中にプログラマ達を土人扱いすることが最大のバグですね
だれかこいつ等の頭のデバッグもしてやれよw
だれかこいつ等の頭のデバッグもしてやれよw
64: 名刺は切らしておりまして 2014/11/02(日) 13:14:35.21 ID:hKGwmCdZ.net
>>62
その人たちはもう使えないのでリプレースすることをおススメします
その人たちはもう使えないのでリプレースすることをおススメします
70: 名刺は切らしておりまして 2014/11/02(日) 13:24:11.07 ID:bgBcGvOf.net
こんな端た金なら教えない
あと2つ桁が足りない
あと2つ桁が足りない
76: 名刺は切らしておりまして 2014/11/02(日) 14:41:09.20 ID:ljqmNuuk.net
このハッカーさん、ThinkPad使ってるなw
78: 名刺は切らしておりまして 2014/11/02(日) 15:33:51.79 ID:GllzOYsi.net
SQLインジェクション系もバグ?
85: 名刺は切らしておりまして 2014/11/02(日) 15:59:00.46 ID:mOgnWLwN.net
>>78
分類の仕方にもよるがSQLインジェクションは警備員の配置忘れに等しい
簡単に防げる
分類の仕方にもよるがSQLインジェクションは警備員の配置忘れに等しい
簡単に防げる
79: 名刺は切らしておりまして 2014/11/02(日) 15:35:44.27 ID:IyCLytRn.net
ひとのPC盗み見てるくせに
84: 名刺は切らしておりまして 2014/11/02(日) 15:58:47.60 ID:WgfKFn9b.net
何が減点法だか。
身内の失敗はノーカンのくせに
身内の失敗はノーカンのくせに
88: 名刺は切らしておりまして 2014/11/02(日) 16:12:41.52 ID:0EKOdONh.net
>>84
だから身内に潜り込むことが最重要目標となるのだ
東アジアは総じてそういう傾向があるよね
だから身内に潜り込むことが最重要目標となるのだ
東アジアは総じてそういう傾向があるよね
86: 名刺は切らしておりまして 2014/11/02(日) 16:04:40.51 ID:KGCuZ3a4.net
日本の場合は趣味人が参入すると本職の単価がドンドン引き下げられます
デジタルイラスト業界で起こった事から何も学んでねぇ
デジタルイラスト業界で起こった事から何も学んでねぇ
つまり、情報だけ貰って報酬は出さないというのも可能だということ