「金を払わなければ・・・」：セキュリティバグを人質にとる新ビジネスモデル

　ソフトウェアのバグはどのように公開されるべきか。最近設立されたあるセキュリティ調査会社のビジネスモデルをめぐって、さまざまな議論が交わされている。

　2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs（VDA）は、製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。この点は他のセキュリティ研究者と変わらない。

　次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表するとベンダーを脅迫する。これはすべて、VDAがビジネスモデルの一環として行っていることである。

　National Security Agencyなどで働いていたDeMott氏は、自身のビジネスモデルを「先鋭的」と表現する。しかし他のセキュリティ研究者の目にはまるで「恐喝」に見える。どちらにしてもこのビジネス手法は、ソフトウェアベンダーやセキュリティ会社で働くバグハンターのこれまでの仕事の流儀からは大きく逸脱している。

　ちょうど2週間前に、人気のソーシャルネットワーキングサイトLinkedInがVDAのビジネス手法を初めて体験した。ミシガン州に本拠を置くVDAから、LinkedInの「Internet Explorer Toolbar」に重大なセキュリティ上の脆弱性を発見したと主張するメールが届いたのである。

　CNET News.comの記者が見たDeMott氏からLinkedInへのメール（2007年7月10日付）には次のように書かれていた。「LinkedInツールバーへの攻撃が発見されました。このバグについてお知りになりたい場合は、バグの購入に関する優先拒否権を提供いたします。当社ではこの機会に、お客様の製品についてより詳細なセキュリティ監査を行いたいと考えております。製品をより安全なものにするために、ぜひ当社をお役立てください」

　メールの続きはこうだ。「バグの購入を希望されない場合は、エンドユーザーのサーバをセキュリティ上の問題から守るために、このバグを完全な開示情報として転売するか、または公表させていただきます。当社はユーザーの安全確保を信条としております。独自のサービスとして、発見したバグを第三者に販売または公表する前にベンダーに優先的に購入のご案内をさせていただいております。添付の「VDA Labs Value」をご覧ください。バグの購入を希望されるお客様には、実際に使える攻撃コードをご用意いたします。バグをご確認いただき、そのうえで小切手をご郵送ください」

　VDAは返答期限を2007年7月17日とし、5000ドルの支払いを要求した。

　LinkedInからの回答はなかった。DeMott氏は期限を翌日に控えた夕方に2件のメールを送信した。1件は期限が迫っていることを知らせる督促状、もう1件には価格が1万ドルに引き上げられたことが記されていた。

　「攻撃してセキュリティ上の脆弱性を突く実行可能なツールを作成しました（価格：1万ドル）。お電話をお待ちしております」DeMott氏は、メールにこのように書いていた。

　期限が過ぎてから2日後、セキュリティ上の脆弱性の詳細とその利用法が公開された。DeMott氏は別のメールをLinkedInに送信した。