「金を払わなければ・・・」：セキュリティバグを人質にとる新ビジネスモデル - (page 4)

　バグハンターが報酬を得るには、製品のデバッグを行う高額の契約をソフトウェアベンダーから獲得したり、あるいはTipping PointやiDefense、Mozilla Foundationなどが提供している正式なバグ報告プログラムに参加するなどの方法もある。

　たとえばTipping Pointは、2005年に「Zero Day Initiative」という名称のプログラムをスタートさせた。このプログラムでは、バグと攻撃が実際に可能であることを示すコードに対して、または発見したセキュリティ上の脆弱性を突く実際の方法に対して、セキュリティ研究者に賞金を支払う。

　Tipping Pointでは、脆弱性の深刻さの度合いとその普及範囲に基づくスライド制の賞金制度にしたがって研究者に賞金を払う。Forslof氏によれば、攻撃が実際に可能であることを示すコードを開発する手間を惜しまなかった研究者には一般的により高額の賞金が支払われるという。

　「バグとセキュリティ上の脆弱性を突く実行可能なツールに対して（DeMott氏が）要求した金額は、われわれが研究者に提供する金額と矛盾しない。要求した金額は法外な額ではないが、問題はそれをLinkedInから得るために彼がとった方法だ」（Forslof氏）

　Tipping Pointではバグとセキュリティ上の脆弱性を突くツールをセキュリティ研究者から買い取ると、その情報の妥当性を検証してからソフトウェアベンダーに無償で情報を渡す。Tipping Pointは、バグハンターから買い取って確認した情報に基づいて、自社の「Intrusion Prevention」デバイスで使用するフィルタを記述する。

　「iDefense Vulnerability Contributor Program（VCP）」を運営するiDefenseも同様のコンセプトを持っている。主な相違点は、情報を確認してソフトウェアベンダーに無償で通知した後でiDefenseがその情報を利用し、自社の顧客に通知してベンダーがパッチを開発するまでの間のワークアラウンド（暫定的な回避手段）を構築する点である。

　Doyle氏は「VCPは、セキュリティ調査に対して合法的に支払いを受ける方法を研究者に提供する」と語る。支払い額は200ドルから最高1万ドルである。

　一方Mozilla Foundationは、提供するソフトウェアに発見された深刻なセキュリティバグ1件につき500ドルの賞金を支払う。

　DeMott氏は、自社のビジネスモデルにこだわりを持っているわけではないので、微妙に変更する可能性はあると言う。

　「このビジネスモデルでわれわれが望むような成功を収められなかった場合は、官公庁や一般企業との契約に的を絞ることも考えている。私は契約を辞退するようなことはしない」（DeMott氏）