バグ報奨金プログラムで社会貢献を

Kaspersky Labのリサーチャー、デイビッド・ヤコビーが、バグ報奨金プログラムを慈善活動に役立てるというプロジェクトを企画しました。本人へのインタビューで詳しい話を聞いてみましょう。

デイビッド・ヤコビー(David Jacoby)は社内で1、2を争う、社交的で陽気なリサーチャーです。この私の印象は、私自身がKaspersky Labに入社した2年ほど前から変わりません。ヤコビーはハロウィン向けのセキュリティネタを作ってくれたこともありますし、当社グローバル調査分析チーム(GReAT)を紹介する活動にも携わり、撮影班に自宅を開放して(MTV風の)動画を撮影させてくれたこともあります。

これだけでも「デイビッドっていい奴だな」と言われるのに十分だと思いますが、今年のSecurity Analyst Summit(SAS)で、彼のイメージは一段とアップしたかもしれません。事の始まりは、ヤコビーが2日目のセッションの冒頭で発した次の言葉でした。

「この業界には、お金がたっぷりあります。本当にたくさん。ですが、私たちはほとんど何もしていません。皆さん、最近何かいいことをしましたか?それはいつですか?」

続いて彼が披露したのは、Detectifyのフランス・ロセン(Frans Rosén)氏との共同プロジェクトの話でした。週末を使ってバグ探しをし、チャリティに役立てようと計画したのです。最初に設定した目標額は1万1,000ドルでした。最終的に目標額には届かなかったものの、それ以上に興味深いことがあったと言います。

「なかなか面白い展開になりました。僕たちは、バグ報奨金プログラムに参加したことも参加することもなさそうな企業にコンタクトしました。予算がないと言われるだろうと思ったら、マーケティング部門と話すことになり。実際その部門はお金を持っていて、チャリティに参加する意思もあったのです」(ヤコビー)

やりとりの中から、ヤコビーとロセン氏と他の3人のリサーチャーが24時間の侵入テストを無料で実施するというアイデアが生まれました。リサーチャーたちは、自分たちへの報酬の代わりに、その企業が選んだ慈善活動へ寄付をしてもらうように申し入れました。

「声をかけた企業はどこも参加したいと言ってくれました。驚きですよ、素晴らしい」。ロセン氏はそう振り返りました。

このアイデアに特に共感を寄せたのは、スウェーデンのISPであるBahnhofでした。ヤコビーによると、同社は現在、月に1回のペースで侵入テストを実施してもらう代わりに、その対価を慈善活動に寄付しています。

「人々がこうした活動に興味を持っていることの表れです」(ヤコビー)

この「社会貢献としてのバグ報奨金プログラム」という話に感銘を受けた我々Kaspersky Dailyのエディター陣は、ヤコビーにもう少し詳しく話を聞くことにしました。

Kaspersky Daily:チャリティの要素を取り入れることで、社会貢献活動に参加する善意のハッカーが増えると思う?

ヤコビー:率直に言って、たとえばバグ報奨金プログラムとかそういったことへの参加に対する人々の考え方は、これで変わるとは思わない。ただ、ベンダーと慈善団体、あるいはベンダーとセキュリティ企業の間で、これまでとは違う協力関係を築くための入り口にはなり得ると思う。長い目で見れば、もっと多くの人が関わるようになるかもしれない。

それに、社会貢献は人生の根本であるべきものだ。1度きりの人生だし、できるだけ皆の役に立つものにしない手はないよね。

Kaspersky Daily:この間の講演では、「子どもたちがセキュリティカンファレンスに参加するための資金として寄付金を使ってほしい、と言う企業もあった」と言っていたけども。子どものうちにセキュリティ意識を高めるプログラムがあれば、ホワイトハッカーの増加や、IoT(モノのインターネット)などのセキュリティの強化につながると思う?

ヤコビー:IoTについては、僕はかなり悲観的な見方をしている。ほとんどのIoTデバイスはIT業界の企業が作るものではなくて、たとえば家電業界やエンターテインメント業界の企業が作るものでしょ。だから、特に何かが変わるとは思わない。

セキュリティカンファレンスについては、どこか腑に落ちない感じがあるんだ。僕らはすでにIT業界にいる人たちに面白いことを教えているわけで、しかも、とてつもなく高い参加費を取っている。本当に何かを変えたいなら、たとえば、これからこの業界に入ってくる学生を招待すべきだよ。どうして、すでにITのことを知っている人に教えなければならないんだろうね?そんなのは意味がない。

Kaspersky Daily:比較的深刻ではないバグに対する報奨金プログラムにチャリティの要素を取り入れたら、プログラム全般への参加者が増える可能性はあると思う?

ヤコビー:そうなってほしいと思う。僕は世界を変えたいし、少なくとも変えることにチャレンジしたい。僕が思い描いているのは、多かれ少なかれあらゆるものにチャリティを取り入れることなんだ。1つ例を挙げようか。スウェーデンには、空き缶などをリサイクルする機械がある。機械にはボタンが2つ付いていて、1つは「寄付」のボタン、もう1つは現金を受け取るボタンなんだ。

お金を寄付したいと思うなら、寄付すべきだ。何についても同じことだよ。僕らは創造力を発揮して、こういったアイデアをもっと出すべきなんだ。

Kaspersky Labでは、HackerOneで実施しているバグ報奨金プログラム(英語記事)を拡大して対象製品を増やし、一部の報奨金を増額しています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?