報奨金支払いを渋るケースが発生？

　mixiは、脆弱性報告制度を導入した企業のひとつだ。同社は制度脆弱性情報の発見に対して報奨金を懸けていたのだが、この支払いに関して、報告者との間でちょっとしたトラブルになったことがあった。

　そのトラブルとは、あるエンジニアが脆弱性をmixiに報告したところ、今回は「既知の脆弱性である」との判断で報酬の対象外になってしまった、というものだ。

　本当に既知の脆弱性であれば、対象外であるのはやむを得ない。しかし、通報の時点で本人は脆弱性があることを当然確認しており、既知であるという情報も公開されていない。通報した時点で既知であったということは、致命的な脆弱性があることを知っているのに対応していない、という状態であったと推定できるので「本当に既知だったのか？既知として報奨金を払わないばかりか、その脆弱性を放置しているのはどういうことだ」という反応がネット上ですぐさま沸き起こったのだ。

必要なら報奨金制度のガイドラインも検討の余地あり

　この出来事は、脆弱性情報ハンドリングについて新しい検討課題を我々に投げかけている問題ではないかと考える。

　国際的に標準化された脆弱性情報ハンドリングの枠組みに従えば、通報はまず最寄りの通報窓口（日本であれば、IPAまたはJPCERT/CC）になされ、第三者が関与することで公平性が担保される。

　現状ではこの枠組みに完全に組み込まれていない報奨金制度による脆弱性情報ハンドリングにおいて、通報を受けた企業側の対応の透明性が現実の課題として提示された事例といえるだろう。

　おそらくmixiとしては、内部的にすでに発見していた脆弱性であり、内部処理のため一般には公開していないし、まさに対応中だったといった事情があったのかもしれない。もしそうであっても、報告者には事実関係をきちんと説明すべきだろう。

　今後、企業に通報があった場合、類似の問題が発生するようなら、脆弱性情報ハンドリングのガイドラインに報奨金制度による通報について、対応や処理の基準を加える必要があるかもしれない。

参考サイト
mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに

ご投稿いただいた内容は、個人情報を含まない形で今後の編集の参考や弊社メディアでご紹介させていただくことがございます。 あらかじめご了承ください。（正しくご投稿いただいた場合、このアンケートフォームは今後表示されません）

入力に不備があります。お手数ですが赤字の部分をご確認ください。

1. この記事は貴方の業務に役立ちましたか？

1. 非常に役に立った

2. 役に立った

3. 普通

4. あまり役に立たない

5. 全然役に立たない

2. 貴方はこの記事をどこで知りましたか？

1. メールマガジン「ビジネス+IT通信」

2. 「ビジネス+IT」トップページ

3. 検索エンジン

4. 上司、同僚等からの紹介

5. その他

3. この記事のご感想やご意見など、ご自由にお書きください