LINEが脆弱性を報告したら報酬を出す制度「脆弱性報奨金制度」を実施すると発表しました。
LINEは自身のSNSアプリ「LINE」において、使用中に脆弱性(セキュリティ的に弱い不具合)を発見し、報告したら報奨金がもらえる「LINE Bug Bounty Program」(脆弱性報奨金制度)を発表しました。2015年8月24日12時~9月23日12時の期間が対象で、その脆弱性の重要度(危険度)に応じて1件あたり最低500ドル(USドル)から最高2万ドル(USドル)まで支払われるそうです。
こんなのあり?
まさかユーザから脆弱性を募るとは、画期的・・・というのかなんというかすごい取組ですね。企業アプリケーションを作る身からすると信じられない!!って感じですよ。通常企業アプリケーションを作る場合、その脆弱性を検査するために、アプリケーションが出来上がった段階でペネトレーションテスト(脆弱性検査)というものを行います。
ペネトレーションテストは外部のセキュリティ専門会社に委託して行うことが多いです。それはやはり内部のテストですと、専門家が少なかったり、手心を加えたのではないかとか疑われる可能性があるためです。
このペネトレーションテストが厳しいのなんのって・・・最近はセキュリティ攻撃も多様化していて、たくさんの種類の攻撃手法が発見されています。そのためそのすべてに完璧に対応することはなかなか難しく、軽度な指摘を受けることもあります。当然重度の指摘には必ず対応すべきなんですが、軽度の指摘には費用対効果を鑑みてリスクを許容する(そのままにする)こともあります。
「えっ完璧になるまで対応しないの?」と思う方もいるかと思いますが、軽度の指摘は攻撃された場合も特に害はないものも多く、その攻撃方法も難しい前提条件をいくつかクリアした場合のみ発生する可能性があるというレベルなので、これにお金をかけて対策しても効果は少ないと判断がされるのです。
話をLINEに戻すと、このペネトレーションテストのようなものをユーザーに行ってもらおうというのですから驚きです。たくさんのユーザーに使用されているからこそできる芸当なのでしょうね。
ねらいを考察する
しかしLINEは本気で脆弱性を発見してもらおうとは思ってないでしょう。こんな取組で重度の脆弱性が発見されたら、かっこわるいし、そんな危険なアプリだれが使うでしょうか。
ではなぜこんな制度を発表したのか。十中八九パフォーマンスでしょう。
発見した脆弱性を公表するといっています。LINEの描くシナリオは、「脆弱性はありませんでした!」と発表して、話題を集めるとともにアプリの安全性も示せるという一石二鳥の制度なのです。
これは裏を返せば自身の表れでもあります。相当自身がないとできませんよ。これで重度の脆弱性が発見されたら笑いごとじゃないですから。
LINEによるとこの制度のねらいは「セキュリティ強化のための先進的な取り組み。多くの脆弱性が早期発見・対応され、より安全なサービスの提供につながっていく」だそうです。笑わせますね。本当にこんなこと思ってたら責任の押し付けも甚だしい。
しかしこんなに目立ったことしてハッカー集団に目を付けられたら・・・
実際この取組が終了した後どんな発表が待っているか楽しみにしましょう!
続きも逐一ウォッチしていきます。