モジラ、バグ報告への懸賞金プログラムを発表

　ブラウザソフトウェアに重大な欠陥が相次いで見つかったことを受け、Mozilla Foundationは8月2日（米国時間）、セキュリティ研究者が重大なバグを1件発見するごとに500ドルを提供すると発表した。

　Mozilla Foundationは、MozillaおよびFirefoxブラウザとThunderbirdメールクライアントの開発を指揮している。Mozilla Foundationは1週間前、同団体のブラウザに、デジタル証明書の処理方法に関する深刻な欠陥が2つあることを認めた。Microsoftは先週、Internet Explorerブラウザの深刻な脆弱性を修正したが、その中には6月以来広く知られていた脆弱性も含まれていた。

　「最近の状況を見ると、こうした形のコミットメントが必要なことは明らかだ」とMozilla Foundation会長のMitchell Bakerは声明を発表。「この懸賞金プログラムによって、各プロジェクトのサポーターの力を借りることで、われわれはセキュリティの問題を早めに見つけられるようになり、悪意を持つハッカーがそれを悪用する前に脆弱性を修正できる」（Baker）

　「Mozilla Security Bug Bounty Program」と名付けられたこの取り組みには、LinuxソフトウェアメーカーのLinspireとインターネット起業家のMark Shuttleworthが資金を提供した。同団体の発表によると、Linspireはこのプログラムに5000ドルのシードマネーを出し、またShuttleworthはこのプログラムへの一般からの献金が5000ドルに達した際に、それと同額を提供すると約束したという。

「われわれ（Mozilla Foundation）は創立2年目を迎えようとしているが、これまで行なってきた全てのプログラムを見直し、次の1年の優先順位を設定しているところだ。セキュリティはわれわれが真剣に受け止めている分野であり、なにか活動を始めたいと考えていた」と同団体のエンジニアリングディレクター、Chris Hofmannは述べている。Hofmannはまた、同団体がこのプログラムへの資金提供者を今後も募っていくと付け加えた。

　Hofmannは、バグが見つかったにもかかわらず、Mozillaのセキュリティ機能は優れているという。だが、Mozillaのソフトウェアには少なくとも、Microsoftのソフトウェアと同じくらいの数の脆弱性が存在するという批判的な意見もある。MozillaとMicrosoftのソフトウェアの違いは、Microsoftの方が人気があるというだけで、それゆえより多くのセキュリティ研究者がMicrosoft製品を詳しく調べている、というのが彼らの主張だ。

　「MozillaにMicrosoftと同等の市場シェアがあれば、同じくらいの数の欠陥が見つかっているはずだ、というのが世間の通説だ。だが、われわれは、それが本当だとは考えていない」（Hofmann）

　なお、Microsoftの関係者にコメントを求めたが、すぐには応じられなかった。