コンピューターセキュリティーの研究者の多くは、ソフトウエアのバグ(不具合)を開発元に簡単に報告できれば、ハッカーに悪用される前に問題を修復でき、世の中はもっと安全になると考えている。
しかし、問題は大手企業のほとんどがユーザーにバグの報告方法を知らせていないことだ。そのなかには米銀大手のJPモルガン・チェースやバンク・オブ・アメリカ(バンカメ)、米保険大手オールステートなどの大量の個人データを収集している企業や、米自動車大手フォード・モーターなどのインターネット接続機器を設計している企業が含まれる。
サイバーセキュリティーのベンチャー企業ハッカーワンは最近、フォーブス誌が発表する世界の公開会社上位2000社について、そのウェブサイトを細かく調べた。その結果、94%の企業がいわゆる「倫理的なハッカー」がバグを報告するための方法を告知していなかった。例外はフェイスブック、マイクロソフト、アップルなどのテクノロジー大手で、それら企業はぜい弱性を報者した人に報奨金を支払う「バグバウンティ」プログムを提供している。
マイクロソフトのウェブサイトには「セキュリティー研究者がマイクロソフトのセキュリティーの脆弱性を発見した場合、マイクロソフトは共同で調査をしたい」と書かれている。また、米ネット通販大手アマゾン・ドット・コムはウェブサイトで、セキュリティー研究者がセキュリティーに関わる問題を発見した場合、その詳細をsecurity@amazon.comに送信するようアドバイスしている。
一見したところ、多国籍企業がバグ報告用のメールアドレスを設けているかどうかは、データ侵害に対抗する上でささいなことに思えるかもしれない。しかし、プライバシーを専門とする弁護士のマーシャ・ホフマン氏は、そうしたプロセスがあれば、良心的なハッカーにサイト運営者へのバグ報告を促し、インターネットを皆にとって安全なものにできると主張する。
ドイツのセキュリティー研究者、フロリアン・グルノー氏は最近、ある病院の麻酔装置に欠陥を発見した。そこで、その麻酔装置の販売会社にウェブサイトに掲載された連絡先を通じて警告しようとした。しかし、返事はもらえなかった。その後、営業担当者と連絡が取れたものの、会社の「技術のやつら」に連絡するよう言われたという。
グルノー氏は修正に応じてもらうことはできず、ドイツの新聞が8月、グルノー氏の発見したバグについて、メーカー名を明かさずに報じた。
ハッカーワンのアレックス・ライス最高技術責任者(CTO)は、ウェブサイトを調査したのは企業に恥をかかせるためではなく、研究者と企業にサイバーセキュリティーの向上に向けた協力を促すためだと説明した。同氏によると、企業は往々にして研究者に過度の不信感を抱いているという。
企業向けソフトウエア大手オラクルのメアリー・アン・デビッドソン最高セキュリティー責任者(CSO)は8月にブログで、オラクル製品のソースコードの再作成やテストは「規約違反」だとコメントした。オラクルはその後、その投稿を削除し、「当社の理念を反映するものではない」との見解を示した。
ライス氏は「バグをどう発見したかは気にすべきではない」とし、「バグが見つかったとして、次の問題は『発見者にそれをどうしてほしいか』だ」と指摘した。ライス氏はフェイスブックの元セキュリティー担当幹部だった。
JPモルガン、バンカメ、オールステート、フォードはコメントの要請に応じなかった。
By DANNY YADRON
- ウォール・ストリート・ジャーナル(WSJ)
- 世界のビジネスパーソン必読のグローバルニュース。
