ティッピングポイント、セキュリティ脆弱性情報の提供者に謝礼金支払いへ

Joris Evers(CNET News.com) 2005年07月25日 20時21分

  • このエントリーをはてなブックマークに追加

 米3Com傘下のTippingPointが、ハッカーたちに対し、脆弱性の存在を知らせてくれればその見返りに謝礼金を支払うと呼びかけている。これにより、本物の脆弱性が見つかった場合、TippingPointは、該当する製品のメーカーに脆弱性の存在を通知する。そして、メーカーから正式なパッチがリリースされる前に、自社のセキュリティ製品のアップデートを行い、その脆弱性を利用した攻撃からユーザーを守る。

 TippingPointのセキュリティ研究担当ディレクターDavid Endlerはインタビューの中で次のように述べている。「われわれは、企業から独立して行われる個人のセキュリティ研究に(謝礼金という形で)報いると共に、こうした研究を支援したい。また、責任ある形で脆弱性が公表されるようにし、3Comの顧客に世界最高水準のセキュリティ保護サービスを提供したいと考えている」

 TippingPointは侵入防止システムを販売している。同社のシステムは、組織のネットワークに接続されたサーバ、デスクトップ、その他のコンピュータの脆弱性を突いて、攻撃者がネットワークに侵入するのを阻止するよう設計されている。

 情報提供に対する謝礼金の支払いは、「Zero Day Initiative」と呼ばれるTippingPointの新しい計画の下で行われる。同社は、25日に同計画を発表し、27日にラスベガスで計画開始を祝うパーティを開催する予定だ。27日は、ラスベガスで開催されるセキュリティの専門家やファンのための世界的イベントBlack Hat Briefingsの初日に当たる。

 現在、自社製ソフトウェアの脆弱性を指摘してくれた人に謝礼金を支払っている企業はあまり存在しない。ただ、セキュリティ企業に他社製ソフト製品の脆弱性を知らせた場合はほぼ例外なく謝礼金が支払われる。(他社製品の脆弱性に関する情報を収集することにより)競合他社に対し競争上優位に立つためだ。

 最近VeriSignに買収されたセキュリティ情報企業のiDefenseやMozilla Foundationもセキュリティ研究家、すなわちハッカーたちに謝礼金を支払っている。Mozillaは、Firefoxウェブブラウザなど、自ら開発した製品の重大なセキュリティ脆弱性を発見してくれた人に現金500ドルとMozilla特製Tシャツを提供している。

 ハッカーたちにとって、現金は脆弱性の発見に対する強い動機付けになりつつある。TippingPointのZero Day Initiativeのようなプログラムのおかげで、彼らは合法的な方法でバグ探しの報酬を手にすることが出来るのだ。脆弱性を扱う闇市場も存在する。セキュリティの専門家によると、サイバー犯罪者は、未公開の脆弱性に関する情報を高額で買取り、その脆弱性を利用してコンピュータシステムに侵入しているという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR