Home

バグ発見で10歳少年にInstagramから賞金100万円!?


普段使っているアプリやWebサービスが思った通りの動きをしてくれなかったり、「なんだこれ、バグなんじゃないの?」と思うような不具合があったりした時、あなたならどうしますか?

大抵の人は多少ムッとしながらも使うのを諦め、また後で時間を置いて試してみよう…と思うくらいが関の山ですよね。

世界のいくつかの企業やサービスでは、今そういったバグを発見してくれた人に対して、そのバグの重要度に見合った報酬を出すプログラム、その名も「バグ・バウンティー・プログラム」というバグ懸賞が開催されています。

Instagramもバグ・バウンティーを取り入れているサービスのひとつで、わずか10歳の少年が1万ドル(日本円にしてざっくり100万円!)もの賞金を獲得しました。

今回は、賞金を手にしたフィンランドに住んでいる少年ジャニ君のハッキング内容を参考に、バグ・バウンティー・プログラムの仕組みを詳しくご紹介していきます。

外部からInstagramのコメントを削除できるバグを発見

フィンランド在住の少年、ジャニ君がInstagramへのハッキングで発見したのは、投稿に寄せられたコメントを外部から勝手に削除できてしまうというバグ。

Instagramを愛用している人なら誰もが知っている通り、投稿した写真へのコメントはフォロワーと交流するためのとても大切な機能のひとつですよね。

悪意のある誰かが、あなたの投稿についたコメントを勝手に削除してしまったら、あなたは誰かがコメントを書いてくれた事にすら気づけなかったかもしれません。

SNSとしてまさに致命的ともいえるセキュリティーホールだっただけに、Instagram側も発見者であるジャニ君には大感謝。バグ・バウンティー・プログラムで支払われる報酬の中でもトップレベルの1万ドル(日本円で約100万円!)という賞金が、ジャニ君に贈られました。

ちなみにジャニ君には双子の兄がいて、今回の功績はお兄さんの協力によるところも大きかったのだとか。誰もが気になる「そもそもなんでハッキングしようと思ったの?」という問いには、『悪意のあるコードに、コメント欄が耐えられるのか試してみたかったんだ』と答えているそうです。

確かに子供は好奇心が旺盛なものだ…とはいうものの、10歳にしてその着眼点!お見それしました…とレベルの違いにひれ伏すばかりです。

企業にも参加者にも嬉しい「バグ・バウンティー」のメリット

ジャニ君のケースのように、企業の中の人間ではない一般ユーザーが、アプリやWebサービスのバグを発見することはしばしばあります。

明確なバグに限らず、「ここを突かれるとセキュリティー的に大問題が発生してしまうかも」という脆弱性を少しでも減らすことは、ユーザーが安心して使えるために欠かせないポイントのひとつです。

最近世間を騒がすことが多い情報流出問題も、ユーザーの個人情報を管理するサーバーの脆弱性を嗅ぎ付けた、悪意あるクラッカーによる仕業であることがほとんどですよね。

サービスを提供する企業側は、常にこういった悪意からサービスを守るために一定の費用を投じて対策を打つ必要があります。

バグ・バウンティー・プログラムは、そんな脆弱性をカバーしたい企業側と、もしかしたら悪意あるクラッカーになっていたかもしれない、ハッキング能力の高いユーザーの双方に利益をもたらすことのできるプログラムです。

企業側はユーザーからバグの報告を受けることができるので、サービスをよりセキュリティーの高いものに成長させていくことができますし、ユーザー側にとっても見つけた脆弱性に攻撃をしかけることによって得られる一時的な愉快さよりは、報酬という実利のほうがよっぽど魅力的なメリットに見えます。

優秀なハッカーの中には、知的好奇心を満たすためにサービスをハッキングする人も少なくはありません。こういったハッカーたちを味方につけ、win-winな関係を築いていけるのがバグ・バウンティー・プログラムの利点なのです。

日本ではLINEやサイボウズが実施

Instagramを傘下におさめる米Facebookや、Googleなどの世界的な企業を中心に広がっているバグ・バウンティー・プログラムですが、日本ではサイボウズが2013年からプログラムを導入しています。

毎年一定の期間を設けてユーザーからのバグ報告を受け付けてきました。2016年は2月1日~12月26日というほぼ通年の募集期間ということもあり、バグ・バウンティーが同社にとって一定の成果をおさめていることを裏付けていますよね。

参考サイト:サイボウズ脆弱性報奨金制度
http://cybozu.co.jp/company/security/bug-bounty/

LINEも2015年8月から9月にかけての1ヶ月間、バグ・バウンティー・プログラムが開催されました。わずか1ヶ月の間で200件を超える報告が寄せられ、このうち14件の報告に対して脆弱性を認定。

LINEがあらかじめ定めていた報酬の中では最も高額となる2万ドル(200万円強)が支払われた人もいたということで、注目を集めていました。LINEは2016年6月、このバグ・バウンティー・プログラムを無期限で常設すると発表し、今後ますます盛り上がることでしょう。

参考サイト:LINE Security Bug Bounty Program
(バグ・バウンティーの目的や参加条件などが記載されています)
https://bugbounty.linecorp.com/ja/

また、「バグ・バウンティー・プログラムには興味があるけれど、自分でイチから取り仕切るのは大変そう…」という企業向けに、バグ・バウンティーのプラットフォームとなるサービスもすでに日本で始まっています。

BugBounty.jp」はその先駆けで、企業と善意あるハッカーとを結ぶプラットフォームとしてその働きが期待されています。


報酬制度の透明化が課題

ご紹介してきたように、プログラムの知識が豊富なハッカーと企業が手と手を取り合って、より良いサービス作りにつなげていくことができるバグ・バウンティー・プログラムですが、制度には指摘されている課題もあります。

ハッカーたちは、自分がどれだけ重要な脆弱性を発見した!と思っても、その重要度の認識が企業と共有できなければ、期待しただけの報酬が得られないこともあります。

企業側にもセキュリティーに対する予算の限界がありますし、こういう脆弱性にはこれくらいの報酬、というように少しでも双方が納得できる目安をあらかじめ明示しておくことが大切です。

優秀なハッカーの中には、「バグハンター」としてバグ・バウンティー・プログラムで得られる報酬だけで生活することを目指す人もいます。

このようなやる気に満ちあふれた能力の高いハッカーたちの関心をつなぎとめておくためにも、報酬制度の工夫はバグ・バウンティー・プログラムの今後の課題のひとつとなるでしょう。

何はともあれ、より安全で使いやすいサービスにつながるバグ・バウンティー・プログラムは、今後情報サービス業界に限らず導入が広がる可能性の高いプログラムです。

どんな業界の企業でも、今や何らかのソフトウェアを使用して仕事を行うのはもはや避けられません。自社のサービスやサーバーを守るために、これからますます注目を集めるであろうバグ・バウンティー・プログラム。次はどの企業が導入の名乗りを上げるのか楽しみですね。