提案：バグの発見者に報奨金

Mark Rasch（SecurityFocus）
2003年11月18日 12:21 GMT

　ベンダがコンピュータ犯罪者を捕らえるために報奨金を出すのではなく、サイバー攻撃を可能にするようなセキュリティ・ホールの発見や報告をしたグレーハット・ハッカーに対して報酬を払うべきだ、と SecurityFocus のコラムニスト Mark Rasch 氏は提言している。

　Microsoft 社は最近、SoBig ワーム攻撃や Slammer ワーム攻撃を行った犯人を逮捕、起訴するため 50 万ドルの報奨金を出すと発表した。しかし、この提案は納屋のドアを開け放しておきながら、馬を盗んだ男を捕まえるために金を出すようなものだ。筆者には別の考えがある。それは、セキュリティ・ホールを見つけたグレーハット・ハッカーに報奨金を払うというものだ。

　グレーハット・ハッカーの大まかな定義だが、強制ではなく自身の意思でハードウェア、ソフトウェア、あるいは構成の脆弱性を新たに発見し、しかし悪用しない（但し、それらの存在を検証することはあり得る）人物とする。また、脆弱性の影響を受ける会社に委託され、十分な情報を与えられて脆弱性を発見する人たちをホワイトハット、他方、脆弱性を悪用する人たちをブラックハットと呼ぶ。

　バグの発見者のモデル・プロトコルが二つある。一つは、脆弱性をベンダに通報するためのもの、そしてもう一つがベンダが適切に返答するためのものだ。セキュリティ研究者 Rain Forest Puppy 氏がそのうちの一つを作成した。そして業界団体である Organization for Internet Safety が各当事者用にもう一つの規則セットを策定した。

　しかし、グレーハット・ハッカーがバグの発見をベンダに通知し、その通知が受信されたことを確認し、何がしの謝意（および報酬、報奨金）を受け、そして脆弱性が修正されたことを検証するための効果的なメカニズムが欠落している。

●提案：グレーハット・ハッカー用の ISAC

　ISAC（Information Sharing and Analysis Center）は、情報共有分析センターのことである。これは、業界内で安全且つ秘密裏に脆弱性の情報を共有することを目指して米国および他の国の政府が設立した機構だ。IT 業界は ISAC を保持しており、電気通信業界も独自の機構を有している。銀行業界は "金融サービス" ISAC を有している。また、その他の業界も同様の機構を持っている。

　しかし、当然のことながら、どの ISAC の理事会メンバーにもグレーハット・ハッカーは含まれておらず、また、それらの組織は、脆弱性に関して組織にアドバイザスするコミュニティのフォーラムとして全く機能を果たしていない。

　そこで筆者は、ある程度機密が保持されるハッカー掲示板、グレーハット ISAC を提案する。グレーハットは、あらゆる新しい脆弱性に関する情報（詳細の程度は任意）を発信することになる。彼らはその行為を匿名か（匿名化の技術の使用も含む）、あるいは既にある通称で行うことができる。

　情報は、掲示板に投稿される。その投稿にはバグ発見者がその後の経緯を辿ることができるよう追跡番号が割り当てられる。従ってグレーハットは、ベンダもしくは組織に脆弱性が通知された時、また受信を確認したか否かを知ることができる。彼らは、定期的（毎週か、あるいは 3 日ごとのように）に経過報告書を受け取り、他方ベンダや組織には詳細を入手するためにグレーハットに連絡を取る手段が提供される。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec