記事

ソフトウエアのバグ発見者は企業の敵?

コンピューターセキュリティーの研究者の多くは、ソフトウエアのバグ(不具合)を開発元に簡単に報告できれば、ハッカーに悪用される前に問題を修復でき、世の中はもっと安全になると考えている。

 しかし、問題は大手企業のほとんどがユーザーにバグの報告方法を知らせていないことだ。そのなかには米銀大手のJPモルガン・チェースやバンク・オブ・アメリカ(バンカメ)、米保険大手オールステートなどの大量の個人データを収集している企業や、米自動車大手フォード・モーターなどのインターネット接続機器を設計している企業が含まれる。

 サイバーセキュリティーのベンチャー企業ハッカーワンは最近、フォーブス誌が発表する世界の公開会社上位2000社について、そのウェブサイトを細かく調べた。その結果、94%の企業がいわゆる「倫理的なハッカー」がバグを報告するための方法を告知していなかった。例外はフェイスブック、マイクロソフト、アップルなどのテクノロジー大手で、それら企業はぜい弱性を報者した人に報奨金を支払う「バグバウンティ」プログムを提供している。

 マイクロソフトのウェブサイトには「セキュリティー研究者がマイクロソフトのセキュリティーの脆弱性を発見した場合、マイクロソフトは共同で調査をしたい」と書かれている。また、米ネット通販大手アマゾン・ドット・コムはウェブサイトで、セキュリティー研究者がセキュリティーに関わる問題を発見した場合、その詳細をsecurity@amazon.comに送信するようアドバイスしている。

 一見したところ、多国籍企業がバグ報告用のメールアドレスを設けているかどうかは、データ侵害に対抗する上でささいなことに思えるかもしれない。しかし、プライバシーを専門とする弁護士のマーシャ・ホフマン氏は、そうしたプロセスがあれば、良心的なハッカーにサイト運営者へのバグ報告を促し、インターネットを皆にとって安全なものにできると主張する。

 ドイツのセキュリティー研究者、フロリアン・グルノー氏は最近、ある病院の麻酔装置に欠陥を発見した。そこで、その麻酔装置の販売会社にウェブサイトに掲載された連絡先を通じて警告しようとした。しかし、返事はもらえなかった。その後、営業担当者と連絡が取れたものの、会社の「技術のやつら」に連絡するよう言われたという。

 グルノー氏は修正に応じてもらうことはできず、ドイツの新聞が8月、グルノー氏の発見したバグについて、メーカー名を明かさずに報じた。

 ハッカーワンのアレックス・ライス最高技術責任者(CTO)は、ウェブサイトを調査したのは企業に恥をかかせるためではなく、研究者と企業にサイバーセキュリティーの向上に向けた協力を促すためだと説明した。同氏によると、企業は往々にして研究者に過度の不信感を抱いているという。

 企業向けソフトウエア大手オラクルのメアリー・アン・デビッドソン最高セキュリティー責任者(CSO)は8月にブログで、オラクル製品のソースコードの再作成やテストは「規約違反」だとコメントした。オラクルはその後、その投稿を削除し、「当社の理念を反映するものではない」との見解を示した。

 ライス氏は「バグをどう発見したかは気にすべきではない」とし、「バグが見つかったとして、次の問題は『発見者にそれをどうしてほしいか』だ」と指摘した。ライス氏はフェイスブックの元セキュリティー担当幹部だった。

 JPモルガン、バンカメ、オールステート、フォードはコメントの要請に応じなかった。

By DANNY YADRON

あわせて読みたい

「サイバーセキュリティ」の記事一覧へ

トピックス

ランキング

  1. 1

    NHK桑子アナのコメント力に苦言

    メディアゴン

  2. 2

    棚橋弘至 40代は現実受け入れよ

    BLOGOS編集部

  3. 3

    よしのり氏「新潮45は大成功」

    小林よしのり

  4. 4

    NEWS23の根拠ない安倍批判に苦言

    和田政宗

  5. 5

    進次郎氏「戦った2人に注目を」

    AbemaTIMES

  6. 6

    吉澤ひとみに実刑も 飲酒の怖さ

    猪野 亨

  7. 7

    よしのり氏 何でも反対脱却せよ

    小林よしのり

  8. 8

    進次郎氏の投票先明言に疑問の声

    キャリコネニュース

  9. 9

    総裁選の敗北者に待つ悲惨な末路

    文春オンライン

  10. 10

    正恩氏「北朝鮮はみすぼらしい」

    高英起

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。