知ってた?!…結構あるあるな『バグを発見』したらもらえる報奨金

2020年10月28日




「バグバウンティ」と呼ばれる脆弱性報奨金制度を導入している企業や公的機関などが世界的に増えてきている中、バグを発見した14歳の少年がAppleから報奨金をもらえることが分かりました。

・バグを発見した14歳の少年にAppleが報奨金


出典 www.aflo.com

FaceTimeで通話を開始する前に、相手に音声や映像が伝わってしまうバグを発見した14歳の少年のもとを、Apple役員が訪れ、バグ発見者への報奨金支払いを約束したそう
出典 Apple役員、FaceTimeバグを発見した14歳の少年に報奨金支払いを約束 – iPhone Mania

iPhoneやMacなどApple製品どうしの無料通話アプリFaceTimeのグループ通話で、受信者が応答する前の音声や映像を、発信者が見聞きできてしまうバグが発見
出典 Apple役員、FaceTimeバグを発見した14歳の少年に報奨金支払いを約束 – iPhone Mania

バグが一般に報じられるようになったあと、アリゾナ州に住む少年とその母親がバグの第一発見者だと名乗り出ていました。
出典 FaceTime盗聴バグ報告親子宅に「アップル幹部」が訪問、謝罪と報奨金提供を申し出 – Engadget 日本版

親子は問題が明るみに出る1週間も前にバグを発見し、アップルのバグ報奨金プログラムに報告を試みたものの、なかなか相手にしてもらえなかったと訴えていました。
出典 FaceTime盗聴バグ報告親子宅に「アップル幹部」が訪問、謝罪と報奨金提供を申し出 – Engadget 日本版

・その後AppleはiOS12.1.4をリリースし修正した


出典 www.aflo.com

Appleは盗聴につながる危険性のあるバグがあったことについて謝罪し、今週中にセキュリティアップデートを公開するとコメント
出典 iOS12.1.4が公開〜FaceTimeグループ通話機能のバグを修正 – iPhone Mania

現地時間2月7日、FaceTimeのグループ通話機能のバグを修正した、iOS12.1.4をリリース
出典 iOS12.1.4が公開〜FaceTimeグループ通話機能のバグを修正 – iPhone Mania

Appleはそれについて、“重要なセキュリティアップデートなのですべてのユーザーに推奨される”、と言っている。
出典 AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび | TechCrunch Japan

同社のセキュリティ勧告のページも、バグの発見者としてThompsonの名をクレジットしている。
出典 AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび | TechCrunch Japan

・実はバグを発見した人に報奨金を与えるのは世界的にあるある


出典 www.aflo.com

企業がバグの発見者に対して報奨金を支払う「バグバウンティ」制度。
出典 フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp

フェイスブックはバグ報告報奨金制度、いわゆる「バグバウンティ」を比較的早くから取り入れてきた企業だ。
出典 フェイスブックの「バグ報奨金」制度拡大は、個人情報を今度こそ守れるか|WIRED.jp

国際的なプラットフォームとして知られるHackerOneは、過去1年間において実施されたバグバウンティプログラムなどについて調査した結果をまとめた報告書「The Hacker-Powered Security Report 2018」を公開
出典 脆弱性報奨金の実態は? 「バグバウンティ」に関するHackerOneの調査報告書【海外セキュリティ】 – INTERNET Watch

支払う側は前年に引き続き米国が圧倒的に多く、全体の8割を超えています。
出典 脆弱性報奨金の実態は? 「バグバウンティ」に関するHackerOneの調査報告書【海外セキュリティ】 – INTERNET Watch

・そんな米企業を中心に続々とバグ報奨金プログラムを開始している

Intelは去年大規模なバグ発見報奨金プログラムを実施した
最高25万ドル(約2650万円)の報奨金を得ることが可能。(現在は終了しています)
出典 www.aflo.com

Intelは米国時間2月14日、バグ発見報奨金プログラムの条件を改定し、招待者のみではなく、誰でも参加できるようにしたと発表した。
出典 インテル、バグ発見報奨金プログラムを拡大–サイドチャネル脆弱性は最高25万ドル – ZDNet Japan

Intelによると、サイドチャネル攻撃につながる脆弱性を発見したセキュリティ研究者は最高25万ドル(約2650万円)の報奨金を得ることが可能だという。
出典 インテル、バグ発見報奨金プログラムを拡大–サイドチャネル脆弱性は最高25万ドル – ZDNet Japan

HPがクラウドソーシングセキュリティ企業のBugcrowdと提携し、プリンタ向けのバグ報奨金プログラムを開始しました。新しい不具合・脆弱性を発見した人には最大で1万ドル(約112万円)が贈られるとのこと。
出典 米HP、プリンタのバグ報奨金プログラムを発表。最大で1万ドルを支払い – Engadget 日本版

この取り組み、プリンタ業界としては初の試みとのこと
出典 米HP、プリンタのバグ報奨金プログラムを発表。最大で1万ドルを支払い – Engadget 日本版

・特に多いのは仮想通貨の報奨金

特に仮想通貨を運営する企業がハッカーに支払った額が半端ない
出典 www.gettyimages.com

仮想通貨EOSを開発するEOS.ioは、重要な脆弱性を発見したとしてホワイトハッカーや研究者らに報奨金を与えた。
出典 仮想通貨EOS バグバウンティで5つの重大な脆弱性を発見 ホワイトハッカーに1万ドルの報奨金 | Cointelegraph

4万750ドル(約447万円)の報奨金を与えたほか、その翌日には別の研究者は1万ドルの報奨金を受け取った。
出典 仮想通貨EOS バグバウンティで5つの重大な脆弱性を発見 ホワイトハッカーに1万ドルの報奨金 | Cointelegraph

今年一番報奨金を払ったのは、仮想通貨EOSの開発企業ブロック・ワン。
出典 EOS、コインベース、トロン…ホワイトハッカーに多く報奨金を払った仮想通貨企業が明らかに | Cointelegraph

全体の6割にあたる53万4500ドルをハッカーに支払ったそうだ。
出典 EOS、コインベース、トロン…ホワイトハッカーに多く報奨金を払った仮想通貨企業が明らかに | Cointelegraph

・バグ発見ツールも認められればオープンソース化される

Googleが認めた「ClusterFuzz」
出典 www.aflo.com

Googleは、脆弱性の調査を行うためのファジングツール「ClusterFuzz」をオープンソース化した。GitHubより入手できる。
出典 【セキュリティ ニュース】Google、2.7万件以上のバグを発見したファジングツールをオープンソース化(1ページ目 / 全1ページ):Security NEXT

ソフトウェアのテストや導入のためのプロセスの多くの部分で自動化が進んでいるため、当然ファジングもホットな話題に
出典 Google が大規模アプリのバグテストのClusterFuzzをオープンソース化(TechCrunch Japan) – Yahoo!ニュース

Googleは、「Chromeブラウザの開発ではこのツールを利用し1万6000以上のバグを発見した。またOSS-Fuzzでは160件以上のオープンソース・プロジェクトで1万1000のバグを発見した」としている。
出典 Google が大規模アプリのバグテストのClusterFuzzをオープンソース化(TechCrunch Japan) – Yahoo!ニュース

さらに2年前からは、OSS-Fuzzを通じてオープンソースの開発者向けに2万5000以上のコアで動作する「ClusterFuzz」を提供。160超のプロジェクトで1万1000以上のバグを発見しているという。
出典 【セキュリティ ニュース】Google、2.7万件以上のバグを発見したファジングツールをオープンソース化(1ページ目 / 全1ページ):Security NEXT

・そんなバグ発見、ゲームで試してみては?

Jiruo Softwareが開発するバグ発見ゲーム『バグダス – デバッガー検定 -』のSteam版配信が開始されました。
出典 デバッガーの気分が味わえるバグ発見ゲーム『バグダス』Steam版が配信開始! | Game*Spark – 国内・海外ゲーム情報サイト

架空のゲームの一場面を収録した問題が8問用意されており、プレイヤーは仕込まれたバグを探し出し、設定された課題を達成しなければなりません。
出典 デバッガーの気分が味わえるバグ発見ゲーム『バグダス』Steam版が配信開始! | Game*Spark – 国内・海外ゲーム情報サイト

普通にプレイするだけではバグは見つからず、色々な操作や行動が必要となってきます。
出典 Game*Spark – 国内・海外ゲーム情報サイト

『バグダス – デバッガー検定 -』は100円で配信中。
出典 Game*Spark – 国内・海外ゲーム情報サイト

バグダス – デバッガー検定 – on Steam