開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2014/06/06

mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか (2/2)

報奨金支払いを渋るケースが発生?

 mixiは、脆弱性報告制度を導入した企業のひとつだ。同社は制度脆弱性情報の発見に対して報奨金を懸けていたのだが、この支払いに関して、報告者との間でちょっとしたトラブルになったことがあった。

 そのトラブルとは、あるエンジニアが脆弱性をmixiに報告したところ、今回は「既知の脆弱性である」との判断で報酬の対象外になってしまった、というものだ。

 本当に既知の脆弱性であれば、対象外であるのはやむを得ない。しかし、通報の時点で本人は脆弱性があることを当然確認しており、既知であるという情報も公開されていない。通報した時点で既知であったということは、致命的な脆弱性があることを知っているのに対応していない、という状態であったと推定できるので「本当に既知だったのか?既知として報奨金を払わないばかりか、その脆弱性を放置しているのはどういうことだ」という反応がネット上ですぐさま沸き起こったのだ。

必要なら報奨金制度のガイドラインも検討の余地あり

 この出来事は、脆弱性情報ハンドリングについて新しい検討課題を我々に投げかけている問題ではないかと考える。

 国際的に標準化された脆弱性情報ハンドリングの枠組みに従えば、通報はまず最寄りの通報窓口(日本であれば、IPAまたはJPCERT/CC)になされ、第三者が関与することで公平性が担保される。

 現状ではこの枠組みに完全に組み込まれていない報奨金制度による脆弱性情報ハンドリングにおいて、通報を受けた企業側の対応の透明性が現実の課題として提示された事例といえるだろう。

 おそらくmixiとしては、内部的にすでに発見していた脆弱性であり、内部処理のため一般には公開していないし、まさに対応中だったといった事情があったのかもしれない。もしそうであっても、報告者には事実関係をきちんと説明すべきだろう。

 今後、企業に通報があった場合、類似の問題が発生するようなら、脆弱性情報ハンドリングのガイドラインに報奨金制度による通報について、対応や処理の基準を加える必要があるかもしれない。

【訂正情報 2014/06/09 22:20修正】
文中で一部記載が誤解を招く表現でした。本文は修正済みです。ご迷惑をおかけした読者ならびに関係者にお詫び申し上げます。
(訂正箇所 P2、第3段落)
誤:しかも通報後も脆弱性が放置されていたようで、
正:通報した時点で既知であったということは、致命的な脆弱性があることを知っているのに対応していない、という状態であったと推定できるので
参考サイト
mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに
この記事のご感想をお聞かせください。~mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか(t)

ご投稿いただいた内容は、個人情報を含まない形で今後の編集の参考や弊社メディアでご紹介させていただくことがございます。 あらかじめご了承ください。(正しくご投稿いただいた場合、このアンケートフォームは今後表示されません)

1. この記事は貴方の業務に役立ちましたか?

2. 貴方はこの記事をどこで知りましたか?

3. この記事のご感想やご意見など、ご自由にお書きください

連載一覧

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!