- 2014/06/06 掲載
mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか(2/2)
報奨金支払いを渋るケースが発生?
そのトラブルとは、あるエンジニアが脆弱性をmixiに報告したところ、今回は「既知の脆弱性である」との判断で報酬の対象外になってしまった、というものだ。
本当に既知の脆弱性であれば、対象外であるのはやむを得ない。しかし、通報の時点で本人は脆弱性があることを当然確認しており、既知であるという情報も公開されていない。通報した時点で既知であったということは、致命的な脆弱性があることを知っているのに対応していない、という状態であったと推定できるので「本当に既知だったのか?既知として報奨金を払わないばかりか、その脆弱性を放置しているのはどういうことだ」という反応がネット上ですぐさま沸き起こったのだ。
必要なら報奨金制度のガイドラインも検討の余地あり
この出来事は、脆弱性情報ハンドリングについて新しい検討課題を我々に投げかけている問題ではないかと考える。国際的に標準化された脆弱性情報ハンドリングの枠組みに従えば、通報はまず最寄りの通報窓口(日本であれば、IPAまたはJPCERT/CC)になされ、第三者が関与することで公平性が担保される。
現状ではこの枠組みに完全に組み込まれていない報奨金制度による脆弱性情報ハンドリングにおいて、通報を受けた企業側の対応の透明性が現実の課題として提示された事例といえるだろう。
おそらくmixiとしては、内部的にすでに発見していた脆弱性であり、内部処理のため一般には公開していないし、まさに対応中だったといった事情があったのかもしれない。もしそうであっても、報告者には事実関係をきちんと説明すべきだろう。
今後、企業に通報があった場合、類似の問題が発生するようなら、脆弱性情報ハンドリングのガイドラインに報奨金制度による通報について、対応や処理の基準を加える必要があるかもしれない。
文中で一部記載が誤解を招く表現でした。本文は修正済みです。ご迷惑をおかけした読者ならびに関係者にお詫び申し上げます。
(訂正箇所 P2、第3段落)
誤:しかも通報後も脆弱性が放置されていたようで、
正:通報した時点で既知であったということは、致命的な脆弱性があることを知っているのに対応していない、という状態であったと推定できるので
参考サイト
mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに
関連コンテンツ
関連コンテンツ
PR
PR
PR