文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史 (2)〜 脆弱性の買取からオークションへ
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
──
国際
海外情報
──
脆弱性の発見と公表をする研究者を、訴訟をほのめかし、 FBI による捜査を依頼して「口止め」する事件も多くなった。2005年にマイケル・リンによるシスコ・ルーターの脆弱性の発表では、シスコ社が圧力をかけ「Ciscogate」と呼ばれる事件に発展している。
この訴訟と逮捕というムチのポリシーと時代を同じくして登場したのが、飴のポリシー、すなわち、脆弱性を公に買い取る企業の登場だ。
2002年には iDefense 社の Vulnerability Contributor Program (VCP) が発足。2005年に TippingPoint 社、3Com 社による Zero-Day Initiative (ZDI)が発足している。
Vulnerability Contributor Program
http://labs.idefense.com/methodology/vulnerability/vcp.php
Zero Day Initiative | 3Com | TippingPoint, a division of 3Com
http://www.zerodayinitiative.com/index.html
ZDI設立者 ペドラム・アミーニ氏インタビュー
https://www.netsecurity.ne.jp/3_9246.html
脆弱性の発見は時間と労力がかかる緻密な研究結果だ。研究に対して対価を払うというのは納得のいくものであろり、これで脆弱性の市場が安定したかのように見えた。
だが一方、脆弱性を発表した研究者に、一般企業による脆弱性の買い取り額(最高100万円)を大きく上まる額でアプローチする団体がある。政府組織と犯罪組織だ。噂によると米国政府は脆弱性を日本円にして800万から1,000万円で買い取り、諜報活動に利用しているそうだし、ロシアを中心とした旧共産圏には、脆弱性のブラックマーケットが存在するのは事実だ。
こうした脆弱性の「市場経済」への進化を見れば、脆弱性のオークション・サイトが発足したのも自然の成り行きと言えるかもしれない。
今年2007年7月にニュースになったのが、スイスのWSラビ社(WabiSabiLabi)によるオークションサイトの発足だ…
Wabisabilabi
http://www.wslabi.com/
【執筆:米国 笠原利香】
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》