「金を払わなければ・・・」：セキュリティバグを人質にとる新ビジネスモデル - (page 2)

　「バグ報告を購入しない方針のお客様には、（VDAとの）コンサルティング契約をお勧めいたします。コンサルティング契約をお申し込みされていれば、今回のバグを最終報告の一部としてお届けすることも可能でした。したがいまして、セキュリティ上の脆弱性を公表せざるを得なかったのは当社の責任ではありません」と書いてあった。

　LinkedInはコメントを控え、その後パッチをあててVDAが発見した脆弱性を修正した。

　DeMott氏は一連のメールを送ったことを認めたうえで、VDAのビジネス手法を正当化し、「ユーザーを守るためにやったことだ。ユーザーの注意を喚起し、ベンダーには脆弱性を修正するよう促している」と指摘した。

　さらに、自社のサービスと料金が記載された「VDA Value」を記者に見せた。

　「われわれのビジネスモデルはやや先鋭的かもしれないが、恐喝だと思ったことはないし、そんなつもりもない」と語り、「ベンダーに関心を持ってもらおうとしただけ。ベンダーは製品にパッチをあてても利益にならない。製品を売ることばかり考えている。何かしないと後回しにされてしまう」と続けた。

　ソフトウェア会社によっては、たとえば会社の方針としてセキュリティ研究者と連携することなく、顧客から指摘された脆弱性だけに対応するところもある。

　他のセキュリティ研究者はVDAのビジネスモデルに批判的である。

　「誰かに弱みを握られて、『金を払わなければバラすぞ』と言われたなら、それは恐喝だ」と指摘するのは、VeriSign/iDefense Research LabのディレクターであるFrederick Doyle氏。彼は元ニューヨーク州警察幹部という経歴の持ち主だ。

　Sans Instituteの最高研究責任者Johannes Ullrich氏も同じ受けとめ方である。

　「これは恐喝だと思う。金を払わないならバグを公表すると脅すあたりは特に。バグを人質にとるべきではない」（Ullrich氏）

　3Comの子会社Tipping Pointでセキュリティ対応担当マネージャーを務めるTerri Forslof氏は、この種のビジネス手法をとるのはVDAだけではないと言う。