「金を払わなければ・・・」：セキュリティバグを人質にとる新ビジネスモデル - (page 3)

　Microsoft Security Response Centerでセキュリティプログラム担当マネージャーとして働いた経験のあるForslof氏は、同社に在籍していた2000年から2005年の間に何度も同様の状況に遭遇した。

　「Microsoftをはじめとする大手ベンダーは企業としての価値観をしっかりと持っており、脆弱性を指摘されて金を払うようなことはしない。金を払わなければ顧客に危害を加えると主張するのは、ベンダーにとっては基本的に恐喝も同然」（Forslof氏）

　ただし、DeMott氏によればVDAのビジネスモデルで成功を収めた例もある。

　設立から4カ月が経過し、見込み客のおよそ半分がバグ発見に対する支払いに同意し、残り半分はVDAの提案をまったく相手にしなかった。また、バグの買い取りには応じなかったがコンサルティングサービスを契約した企業も1社あった。DeMott氏によれば、現在までに2社がVDAの発見した脆弱性を購入し、パッチをあてている。

　しかしUllrich氏は、こうした顧客のことを「用心棒代を払った」と表現する。

　「マフィアに用心棒代を払う人もいるわけで、つまりこれは『守ってやるから金を払え』ということ。まともなビジネスモデルとは思えない」（Ullrich氏）

さまざまなビジネスモデル

　バグを見つけて賞金稼ぎをする人々は、さまざまな手段で収入を得ているとセキュリティ研究者たちは言う。

　2007年夏に登場したオークションサイト「WabiSabiLabi」では、ソフトウェア会社やセキュリティベンダーがこうした発見物をめぐって入札を行う。悪意のハッカーが脆弱性の買い手になる可能性があるため、このサイトをめぐって論争が起きている。

　スイスを本拠とする企業が運営するこのサイトは2007年7月9日に公表された。それ以来、約20件の脆弱性がオークションに出品され、価格は200〜2600ユーロ（274〜3564ドル）であることをWSLabisの戦略担当ディレクターRoberto Preatoni氏がメールで明らかにした。

　「この市場が立ち上げから間もないということを考慮するべきだ。本当の価値で落札されるようになるまでは、少なくとも6カ月は様子を見る必要があると考えている」（Preatoni氏）

　このオークションサイトでは3件の脆弱性が売却され、現在は6件が売りに出されて入札締め切り時刻を待っている。