「The Wolves of Vuln Street - The first system dynamics model of the 0-day market」というタイトルの研究報告書で、研究チームは、脆弱性市場をコントロールしているのは価格だけではないことを明らかにした。さらにバグ発見の報奨金は、脆弱性発見のためには依然として有効であること、そして脆弱性発見を支援するツールや手法に対してインセンティブを設けることは、防御側によって、攻撃側のゼロデイ脆弱性の蓄えをなくすのに有効な方法であることが分かった。
価格は、脆弱性市場をコントロールする重要な要素だとされているが、Moussouris氏は、政府や企業がブラックマーケットと張り合って、バグ発見に数十万ドル台の報奨金を支払おうとすれば、こうした巨額の支払いは悪影響を及ぼす可能性があると主張する。年に数回脆弱性を報告するとして、給料に相当する金額の報奨金を受け取るようになれば、開発者やテスト担当者の人材流出が起こって、テクノロジ企業には、実際にそのバグを修正する熟練したスタッフがほとんどいなくなってしまう。
「個々の脆弱性へのインセンティブを設ければ、防御側の人々は確かにバグを早く見つけられるようになるが、ここで認識しなければならない重要な限界点は、ゆがんだ動機や望ましくない結果を生み出さずに提示できる価格には上限があるということだ」(Moussouris氏)
研究チームは、脆弱性発見において「探す人数を増やしても、成果を上げられる範囲は限られている」と述べている。人数や報奨金を増やすのも役に立つが、個々のバグやソフトウェアに対して報奨金を設ける方が有効な手法だ。特に、あまり成熟していないソフトウェアについてはそれが言える。さらに、セキュリティプロフェッショナルがより優れたツールを利用できるようにすれば、たとえ対応する研究者が少なくても、脆弱性の発見は効率的になるので、脆弱性のブラックマーケットをより短期間で弱体化させることができる。
こうした結果に対して、業界にできる対応方法は数多くあると、Moussouris氏は述べている。企業は、自社のセキュリティ開発ライフサイクルに十分な投資を行い、自社製品のセキュリティを向上させてくれる開発者に向けて、バグ発見報奨金やインセンティブを提供するべきだ。そうなれば、今度はハッカーが、セキュリティ専門家としての自らの市場性を高めるために、より優れたツールや手法を研究するようになるはずだ。Moussouris氏は次のようにコメントしている。
「結局、攻撃者と防御側の勢力争いというのは、いつまでも存在するだろう。問題は、攻撃者にとっては攻撃することが高くつくようにし、防御側を増大してさらに防御側にとってはメリットが大きくなるようなインセンティブを構築するにはどうすればよいのか、ということだ。金銭面以外にも、いずれか一方に有利な状況へと決定づけるような要因は数多く存在する。そして防御側はそれらを活用し始める必要がある。
「The Wolves of Vuln Street(脆弱性市場のオオカミ)」は身近なところにいるが、われわれはその群れの力学を調べることで、インターネットの防衛陣による防御の効果をもっと高めようとしている」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。