Kaspersky Labは米国ラスベガスで開催中のBlack Hat USAカンファレンスで米国時間8月2日、バグ報奨金プラットフォームのHackerOneで「Kaspersky Bug Bounty Program」(カスペルスキー・バグ・バウンティー・プログラム)を立ち上げると発表した。このプログラムを通じて、避けることのできないソフトウェアの脆弱性に対する戦略をさらに強化するとともに、外部のセキュリティリサーチャーとの連携を一層密にしていくとしている。
深刻なソフトウェア脆弱性を、犯罪者に悪用される前に発見すべく報奨金を支払うのがバグ報奨金プラットフォームで、その中でもHackerOneは代表的な存在。脆弱性の発見に対して報奨金を支払うプログラムは外部のリサーチャーにとって、セキュリティの脆弱性を発見して企業に知らせる動機付けとなっている。またプログラムを実施する企業は、セキュリティリサーチャーが報告した問題を解決することで、自社ユーザーをリスクに晒すことから回避できる。
今回のKaspersky Bug Bounty Programの対象となるのは、個人向けセキュリティ製品のKaspersky Internet Securityと法人向けエンドポイントセキュリティ製品のKaspersky Endpoint Security。まずは第1フェーズを8月3日から6カ月間実施し、合計5万ドルの報奨金を予定している。Kasperskyでは第1フェーズ実施後に成果を考慮し、同プログラムの第2フェーズの対象製品と報奨金を決める予定としている。
Kaspersky Lab CTOのNikita Shvetsov氏は、以下のようにコメントしている。
「Kaspersky Bug Bounty Programにより、我々が製品の対応力や復旧力を継続的に高めるために採用している社内外の軽減対策は一層強力なものになるでしょう。大小のあらゆるセキュリティ企業が、自社製品のセキュリティ水準の保持とユーザー保護のために効果的で必須のツールとしてバグ報奨金プログラムを取り入れ、外部のセキュリティリサーチャーと密接に連携すべき時が来たと考えています」
またHackerOne Co-founder&CTOのAlex Rice氏は、以下のコメントを寄せている。
「脆弱性は避けられないものです。バグ報奨金プログラムは、驚くほど多様化したグローバルなハッカーコミュニティの助けを借りて、従来のセキュリティベストプラクティスを補完するものとなることが証明されています。我々はKaspersky Labとの協力のもとで、同社が最も優れたバグ報奨金プログラムを運営し、顧客を保護し続けることを支援することを楽しみにしています」