米国土安全保障省(DHS)は米国時間4月22日、同省初のバグ報奨金プログラム「Hack DHS」で122件の脆弱性が発見されたと発表した。
DHSは2021年12月に同プログラムの立ち上げを発表しており、その第1段階である今回には450人を超える、「厳しい審査によって選ばれたセキュリティ研究者」が参加した。このプログラムは確かな成果を残したようだ。DHSは、発見された122件の脆弱性のうち、27件が「critical」(重大)と見なされるものだったとしている。つまり、その割合は約22%に及ぶ。
同プログラムの立ち上げ時にDHSは、発見された脆弱性1件につき500〜5000ドル(約6万4000〜64万円)の報奨金を支払うとしていた。DHSによると今回、脆弱性と確認され、報奨金が支払われた総額は12万5600ドル(約1600万円)に上るという。DHSは、同省が公開しているすべての情報システム資産に潜んでいる可能性がある「Apache Log4j」の脆弱性を発見するために、バグ報奨金プログラムの対象を拡大した初の政府機関だ。同省はこれにより、同プログラムでしか洗い出すことのできない脆弱性を発見、対処できたとしている。なお同省は、Log4j関連の脆弱性が何件あったのか、また発見された脆弱性のうち5000ドルを支払ったものが何件あったのかを明らかにしていない。
プログラムの第1段階では、セキュリティ研究者らが特定のDHSシステムに対してオンラインでアセスメントを実行した。第2段階ではセキュリティ研究者らを招き、対面でライブのハッキングイベントを開催する。第3段階では、今後のバグ報奨金プログラムに役立つ教訓を明らかにする計画だという。
Hack DHSでは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が構築したプラットフォームを利用し、関連規則の統制と監視はDHSの最高情報責任者(CIO)オフィスが担う。
DHSのCIOであるEric Hysen氏は、「Hack DHSの第1段階ではセキュリティ研究者のコミュニティーからの前向きな参加によって、重大な脆弱性が悪用される前に発見、対処するという成果を上げることができた」と述べた。
「われわれは、Hack DHSの進捗とともに研究者コミュニティーとの関係をさらに強化したいと考えている」(同氏)
Hack DHSは、2016年の「Hack the Pentagon」を皮切りに実施された複数の類似プログラムに続くものだ。Hack the Pentagonでは、米国防総省のさまざまな資産に潜んでいた多数の脆弱性が発見された。同プログラムはその後拡大し、さらに空軍、陸軍のバグ報奨金プログラムも立ち上げられた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
