株式会社エヌ・アンド・アイ・システムズ

営業時間 9:00~18:00(土・日・祝日は除く)

株式会社エヌ・アンド・アイ・システムズ

Technology

コンピュータープログラムに様々な不具合を引き起こすバグ。
中には、個人情報流出につながるような深刻なセキュリティー問題に関連したものもあり、多くのインターネット会社は自社のプログラムのバグ探しに力を入れている。

ところで、インターネットプログラムのバグを発見して企業に報告すると、報酬がもらえる可能性があるということをご存じだろうか。ここでは、多くの企業がオファーしているインターネットのバグ報酬プログラムをご紹介しよう。

 

ブラジルのエンジニアがFacebookから過去最高金額の報酬をゲット!

Facebookが実施しているバグ報酬プログラムにおいて、今年1月にブラジルのエンジニア、レジナルド・シルバ氏にプログラム史上最高額となる3万3500ドルが支払われた。シルバ氏が発見したのはXML 外部エンティティの脆弱性で、もしそのまま放置されていれば、第三者による任意ファイルの閲覧が可能になってしまうという、大変深刻なものであった。

シルバ氏は情報セキュリティー分野で働くエンジニアで、ウェブサイトやアプリケーションの脆弱性を見つけることが大好きだという。2012年にこのバグに気付いたシルバ氏は、その後Googleを始めとする様々なインターネット企業のプログラムにこのバグに対する脆弱性があることを発見した。シルバ氏は各企業にこの脆弱性を報告し、いくつかの企業から報酬を受け取っている。

 

MicrosoftとFacebookが手を組んだ「バグ発見プログラム」

MicrosoftとFacebookは、2013年11月に共同でインターネット・スタックのバグ発見プログラム「Internet Bug Bounty program」を開始した。バグを発見した人には、バグの種類によって300ドルから5000ドルの報酬が支払われるという。

対象となるオープンソースソフトウェアにはPython、PerlやRuby 、Ruby on Railsなど様々なものがリストアップされており、報酬の支払われるバグは、規定の条件を満たすものとされている(なお、最高額の5000ドルが支払われるのは、Sandbox Escapes)。

 

バグ報酬プログラムのメリット

なぜ多くの企業がこのようなプログラムを運営しているのだろうか。そこにはコスト削減という大きなメリットがある。

例えば、Microsoftは、自社のOSにおける脆弱性を報告した人には10万ドル、その緩和情報を併せて提供するとさらに5万ドルの報酬をオファーしている。この報酬額はなかなか高額だが、もし自社の社員を同じバグ発見作業に当たらせた場合、Microsoftはこれよりはるかに多くの人件費を支払わなければならないことになる。もちろん、その際の人件費にはバグが発見できなかった、または緩和策を見つけられなかった場合の作業時間も当然のことながら含まれる。

それに対して、バグ報酬プログラムを使えば、企業は実際に発見されたバグに対してのみ報酬を支払えばいいわけだから、その作業を社内で行う場合に比べて経済的なのである。

 

まとめ

オープンソース時代の今日、高い技能や専門的知識をもったエンジニアが、企業の外に、しかもグローバルに多数存在する。外部のエキスパートを味方につけてシステムの精度を高めようとすることは、企業にとって賢い選択であると言えるだろう。エンジニア個人としては、このようなバグ発見プログラムを利用して、セキュリティー向上に貢献すると共に、一獲千金を狙ってみてはいかがだろうか。

 

参考:
FacebookとMicrosoftがバグ発見に報酬「The Internet Bug Bounty」を開始
http://news.mynavi.jp/news/2013/11/08/114/

Facebook pays Brazilian engineer $33500 for security bug highest payout to date
http://thenextweb.com/facebook/2014/01/23/facebook-pays-brazilian-engineer-33500-security-bug-highest-payout-date/#!ypuBk

XXE in OpenID: one bug to rule them all, or how I found a Remote Code Execution flaw affecting Facebook’s server
http://www.ubercomp.com/posts/2014-01-16_facebook_remote_code_execution

Bug bounties: Bad dog! Have a treat!
http://www.computerworld.com/s/article/9240977/Bug_bounties_Bad_dog_Have_a_treat_?taxonomyId=208&pageNumber=1

Microsoft and Facebook sponsor internet bug bounty program, offer cash hacking internet stack!
http://thenextweb.com/insider/2013/11/06/microsoft-facebook-sponsor-internet-bug-bounty-program-offer-cash-hacking-internet-stack/#!ypTMl

株式会社エヌ・アンド・アイ・システムズ

株式会社エヌ・アンド・アイ・システムズ