透明性
昨年秋、Kaspersky Labの透明性への取り組み「Global Transparency Initiative」についてご説明し、バグ報奨金プログラムを拡大することをお約束しました。このたび、このプログラムについてご案内します。Kaspersky Labの製品にとりわけ重大な脆弱性があることを発見した方には、最高額10万ドルの報奨金をお渡しすることになりました。
間違いを犯さない人など存在しません。だからこそ、バグ報奨金プログラムというものが誕生しました。1995年、Netscapeが当時最新版のブラウザーの検証を目的として始めたのが最初です。今ではGoogle、Microsoft、Facebook、Mozillaなどの多くのIT企業が同様のプログラムを展開しています。
当社製品も、バグと無縁ではありません。Kaspersky Labがバグ報奨金プログラムをスタートさせたのは、2016年のことです。このプログラムが動機付けとなり、ITエキスパートの卵から熟練のプロフェッショナルまで、多くの人がカスペルスキー製品のバグの発見に取り組んできました。正当な方法で発見かつ公表された脆弱性に対しては、300~5,000ドルの報奨金が支払われました。これまでに報告されたバグは70を超え、Kaspersky Labは迅速にバグの修正対応にあたってきました。
2018年3月1日より、当社は報奨金の最高額を20倍に引き上げました。最高額10万ドルの対象となるのは、製品のデータベース更新チャネルからのリモートコード実行が可能で、製品利用者に気付かれないように製品の上位権限を奪い、システムの再起動にも影響を受けないマルウェアの実行ができるバグの発見です。
非常に込み入った課題ですが、もっと小さなバグも報奨金の対象です。リモートからのコード実行を許す脆弱性の発見には、5,000~2万ドルの報奨金が支払われます。このほか、ローカルでの権限昇格を可能にするバグや、機密データを漏洩させるバグも対象となります。
現在、これからのリリースが予定されている2製品が対象となっています。個人向け製品「カスペルスキー インターネット セキュリティ 2019」、法人向け製品「Kaspersky Endpoint Security 11」の、最新ベータ版です。各製品の実行環境要件は、最新版の更新が適用済みのWindows 8.1またはWindows 10です。Kaspersky Labのバグ報奨金プログラムの詳細は、HackerOneプラットフォームに記載の説明(英語)をご覧ください。
ヒント