バグハンターが報酬を得るには、製品のデバッグを行う高額の契約をソフトウェアベンダーから獲得したり、あるいはTipping PointやiDefense、Mozilla Foundationなどが提供している正式なバグ報告プログラムに参加するなどの方法もある。
たとえばTipping Pointは、2005年に「Zero Day Initiative」という名称のプログラムをスタートさせた。このプログラムでは、バグと攻撃が実際に可能であることを示すコードに対して、または発見したセキュリティ上の脆弱性を突く実際の方法に対して、セキュリティ研究者に賞金を支払う。
Tipping Pointでは、脆弱性の深刻さの度合いとその普及範囲に基づくスライド制の賞金制度にしたがって研究者に賞金を払う。Forslof氏によれば、攻撃が実際に可能であることを示すコードを開発する手間を惜しまなかった研究者には一般的により高額の賞金が支払われるという。
「バグとセキュリティ上の脆弱性を突く実行可能なツールに対して(DeMott氏が)要求した金額は、われわれが研究者に提供する金額と矛盾しない。要求した金額は法外な額ではないが、問題はそれをLinkedInから得るために彼がとった方法だ」(Forslof氏)
Tipping Pointではバグとセキュリティ上の脆弱性を突くツールをセキュリティ研究者から買い取ると、その情報の妥当性を検証してからソフトウェアベンダーに無償で情報を渡す。Tipping Pointは、バグハンターから買い取って確認した情報に基づいて、自社の「Intrusion Prevention」デバイスで使用するフィルタを記述する。
「iDefense Vulnerability Contributor Program(VCP)」を運営するiDefenseも同様のコンセプトを持っている。主な相違点は、情報を確認してソフトウェアベンダーに無償で通知した後でiDefenseがその情報を利用し、自社の顧客に通知してベンダーがパッチを開発するまでの間のワークアラウンド(暫定的な回避手段)を構築する点である。
Doyle氏は「VCPは、セキュリティ調査に対して合法的に支払いを受ける方法を研究者に提供する」と語る。支払い額は200ドルから最高1万ドルである。
一方Mozilla Foundationは、提供するソフトウェアに発見された深刻なセキュリティバグ1件につき500ドルの賞金を支払う。
DeMott氏は、自社のビジネスモデルにこだわりを持っているわけではないので、微妙に変更する可能性はあると言う。
「このビジネスモデルでわれわれが望むような成功を収められなかった場合は、官公庁や一般企業との契約に的を絞ることも考えている。私は契約を辞退するようなことはしない」(DeMott氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
レトロかわいいAIデバイス「rabbit r1」を体験--新たなトレンドを作れるか? 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発