脆弱性を販売するオークションサイト--適正対価で目指すセキュリティ改善

　eBayのようなオークションサービスだが脆弱性を販売するサイトにおいて、研究者が自分の成果について適正な対価を確実に得ることができれば、セキュリティが改善されていく。脆弱性オークションサイトの創業者らが明言している。

　WSLabiの最高経営責任者（CEO）でオークションサイト WabiSabiLabiの生みの親であるHerman Zampariolo氏は、「研究者に報酬を支払う既存のビジネスモデルは失敗だ」と語っている。同氏によると、IT専門家が発見の対価を得られていないため、修正されている脆弱性が現在はごくわずかに過ぎないという。「消防士が無給では消火活動も容易ではない」という。

　Zampariolo氏は、「脆弱性が非公開で売買されている限り、その対価が妥当であるわけはない」とし、「WSLabi上の市場でセキュリティ研究者らが自分たちの発見に対して適切な対価を得られるようにする一方で、発見を無償で提供したり、サイバー犯罪者らに販売したりすることが絶対ないようにするのがわれわれの目的だ」と加えた。

　同サイトには現在、「Yahoo Messenger」のリモートバッファオーバーフロー、Linuxカーネルのメモリリーク、「MKPortal」のSQLインジェクションの脆弱性、そして「SquirrelMail」の問題が置かれている。

　2006年には研究者が約7000種類の脆弱性を分析しているが、コードのなかから見つかる実際の脆弱性の数は1年あたり13万9362件に達する、と同氏は見ている。この数字は不思議なことに、セキュリティベンダーISS（現在はIBMの子会社）のGunter Ollmann氏が当初言及したものと一致する。

　イタリアのネットワーク会社iLightのCEOだったZampariolo氏はこの状況を見て、オンライン犯罪アーカイブのZone-h.orgを開設した戦略ディレクターのRoberto Preatoni氏とともに、WabiSabiLabiサイトを開設した。現在までのところ入札はまだ1件もないが、買い手の特定が遅れていることが原因かもしれない。同サイトでは電子通貨が利用できないことから、郵便もしくはファクスで身分証明書と銀行口座を送付する必要があるという。これまで約20人の買い手に対して30人の売り手が登録しているが、これらの脆弱性は今週にも同サイトで公開される。

　Zampariolo氏は、「全力で対応を進めている。脆弱性の提供は増えており、これらの認証作業とフォーマット作業を週末返上で進める」と語っている。