バイドゥとスプラウト、バグ報奨金プログラムの中間報告を発表

～報告件数15件、有効報告件数9件～

バイドゥ株式会社（本社：東京都港区、代表取締役社長・Charles Zhang、以下バイドゥ）と株式会社スプラウト（本社：東京都渋谷区、代表取締役社長・武内開作、以下スプラウト）は、スプラウトが運営する日本初のバグ報奨金プラットフォーム「BugBounty.jp（バグバウンティ・ジェーピー）：リンク 」において、本年3月2日より募集しているバグ報奨金プログラム(※)の中間報告を発表します。



「BugBounty.jp」には現在、国内外のホワイトハッカー約150人が登録しており、募集されているプログラムに対して様々な技術的観点からの調査が行われています。募集プログラムの報奨金の総額は600万円以上に上り、これまで100件以上の報告が届いています。


「Simeji」の募集プログラムについては、現時点で15件の報告が寄せられていますが、アプリを経由したスマートフォンの乗っ取り（利用者の意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能かなど）が起こり得ないか、許可された範囲を超えて利用者のプライバシー情報が収集されていないか、「Simeji」では使用していないとされているバイドゥのソフトウェア開発キット「Moplus SDK」のソースコードが存在しないか、に関する報告はこれまでのところありません。

なお、15件のうち9件につきましては、バイドゥとスプラウトで再検証を行ったうえで、品質向上のためには対応が必要と判断し、有効な報告として報奨金の支払い対象としました。第一次の募集は5月末日までの予定です。詳細につきましては下記をご覧ください。

(※)バグ報奨金プログラムとは、ウェブサービスやアプリケーションなどにバグや脆弱性が存在しないかどうかの調査を、企業が外部のホワイトハッカーに依頼し、もし問題が見つかった場合は報告を受け取り、その対価として報奨金を支払う取り組みのことです。


【今回の募集プログラムの流れ】
[画像: リンク ]

【調査対象】
Simeji　iOS/Android
Simeji Pro (iOSのみ)

【依頼内容】
1. スマホの乗っ取りが可能かどうか
乗っ取り：ユーザーの意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能など

2. Permission（許可）を取得しているもの以外の情報取得が可能
- Android申請時に提出しているもの。iOSはプライバシー設定(Settings>Privacy)でユーザー自身が許可した内容に反して端末情報の取得が可能
- Simeji内でユーザーが任意で情報送信を許可しているもの以外

3.「Moplus SDK」が使用されている
(1) アプリケーション内に「Moplus SDK」のソースコードが存在する
(2) アプリケーション内に「Moplus SDK」が使用されていた場合、その機能を実行可能


【依頼内容に合致する脆弱性報告数】
0件

【その他の脆弱性報告数】
15件

【対応が必要な脆弱性として認定した件数】
9件

【コメント】
バイドゥ：
Simejiユーザーさまに、“より安心してSimejiをご利用いただくこと”を目的に 、本年3月にスプラウトと共にバグ報奨金プログラムを開始してから２ヶ月あまりが経過しました。

国内外から優秀なハッカー様にご報告をいただき、大変感謝しております。 調査対象範囲では該当の報告は０件でしたが、 調査対象範囲外のバグについて、スプラウトのエンジニアの方にもご協力頂き、 迅速に対応することができました。 これにより、アプリの安全性、安定性向上を図ることができました。

ご報告いただいた内容はバイドゥ全社においても今後のアプリ開発に非常に価値が有るものであると感じ、 引き続き、アプリの大幅なバージョンアップが実施される毎に継続して行いたい所存です。

スプラウト：
日本にもバグ報奨金の文化を根付かせようと、徒手空拳で始めた「BugBounty.jp」ですが、バイドゥに参加いただき、その募集に対し世界中のホワイトハッカーから報告が寄せられ、それがバイドゥの品質向上に役立ったことは、サービス運営者として何よりの喜びです。この仕組は参加企業のセキュリティを高めるだけでなく、日本の課題であるホワイトハッカーの育成にも大きく役立つものだと信じていますので、より多くの方に認知していただけるよう努力していきたいと思います。


＜参考＞
スプラウトの「BugBounty.jp」は、企業がバグ報奨金プログラムを簡単に実施することができ、世界中のホワイトハッカーから報告を受け取ることのできる日本初のプラットフォームです。企業はこのプラットフォームを利用して、外部のホワイトハッカーの協力を得ることで、スピーディに自社のサービスや製品のセキュリティ強化施策を図ることが期待できます。サイトは日本語と英語に対応していますので、日本国内だけでなく海外のホワイトハッカーの協力を得ることも可能です。現時点で国内外合わせて150人以上のホワイトハッカーが登録しています。

バイドゥの募集プログラムでは、ホワイトハッカーより調査報告いただいた内容について、バイドゥとスプラウトが協力して検証し、バグもしくは脆弱性と認定されたものに対しては内容に応じて最大30万円の報奨金を支払わせていただきます。報告の受付は先着順で、第一弾としての報奨金予算は150万円です。

詳しい募集内容の発表と受付については「BugBounty.jp」のウェブサイト
（リンク）を御覧ください。


【バイドゥ株式会社について】
世界の検索市場において第2位のシェアを有しており、米国NASDAQへ上場しているBaidu,Inc（本社：中国北京市、代表者：Robin Li）の日本法人です。2008年1月に日本市場向け検索サービス「Baidu.jp」をリリース以降、2009年12月に「Baidu Type（ベータ版）」（2011年3月に「Baidu IME」と改称）をリリース、さらに累計1,900万ダウンロードを誇る日本語入力キーボード「Simeji」（2011年12月よりAndroidアプリ、2014年9月にiOS™版提供）など新サービスを次々に公開しています。

Baiduオフィシャルサイト： リンク

■会社名：バイドゥ株式会社
■住所：〒106-0032　東京都港区六本木6-10-1　六本木ヒルズ森タワー 34階
■代表取締役社長：Charles Zhang
■コーポレートサイト：リンク
■本件に関するお問い合わせ先（マーケティング・広報部）：pr-jp@baidu.com

【Simejiについて】
「Simeji(シメジ) - 日本語文字入力＆顔文字キーボード」は、Google Play™(旧Androidマーケット)で最初に公開されたサードパーティー日本語キーボードです。現在は最大のダウンロード数を誇るAndroid OS向け日本語入力アプリとなっています（現在Android版累計1,250万ダウンロードを更新）。さらに、2014年9月にはiPhone/iPod touch版を提供開始、2016年3月時点で650万ダウンロードを達成しました。また、昨年末にはApp Store「Best of 2015」ランキング：無料カテゴリにランクインしました。

・Simejiオフィシャルサイト：リンク

【株式会社スプラウトについて】
サイバーセキュリティ分野の研究開発を行うスタートアップ企業として2012年に設立。通称ホワイトハッカーと呼ばれるセキュリティエンジニアを中心に、情報通信分野に精通したコンサルタントやリサーチャーらが集まったサイバーセキュリティの専門家集団です。

ゼロデイと呼ばれるシステムに潜む未知の脆弱性、サイバー空間の最新動向、サイバー犯罪の手口といった多岐にわたる分野について調査・研究を行うと同時に、これらの活動から得られた知見をもとに、クラウドプラットフォーム「SolidHub（ソリッドハブ）」などの製品や、企業や官公庁のセキュリティを支援するためのソリューションの開発に取り組んでいます。

また、国内外のホワイトハッカーと企業を結ぶバグ報奨金プログラムのプラットフォーム「Bug Bounty.jp」の運営、サイバーセキュリティ専門のオンラインメディア「THE ZERO/ONE」での独自情報の配信といったユニークなサービスも提供しています。

■会社名：株式会社スプラウト
■住所：〒150-0012　東京都渋谷区広尾5-4-12　4F
■代表取締役社長：武内開作
■コーポレートサイト：リンク
■BugBounty.jp：リンク
■本件に関するお問い合わせ先（広報担当）：pr@sproutgroup.co.jp


※Apple、iPhoneは、米国および他の国々で登録された Apple Inc. の商標です。App Store は Apple Inc. のサービスマークです。iOS は米国および他の国々で登録された Cisco の商標です。・iPhoneの商標は、アイホン株式会社のライセンスに基づき使用されています。

※Google、Android、Google Play（旧 Android マーケット）は、Google Inc.の商標または登録商標です。

プレスリリース提供：PR TIMES リンク