- 2016年6月2日
- セキュリティについて
ゼロデイ脆弱性を見つけたときにハッカーがとるべき行動
「ゼロデイ脆弱性」とは
ゼロデイアタックによる攻撃を受ける可能性があるシステム上の欠陥や問題点のことである。
ゼロデイアタックは、システムの脆弱性が発見されて公表された場合に、修正プログラム(パッチ)の提供が開始される前に、その脆弱性を突くマルウェアを開発して攻撃することを指す。パッチが提供されていない段階のため、ゼロデイ脆弱性は攻撃に対して無防備であり、有効な対策が取れない状態に陥る。このため、ゼロデイ脆弱性はコンピュータシステムの脆弱性の中でも深刻な脆弱性のひとつとされている。(IT用語辞典より)
今よく聞く言葉です。
その「ゼロデイ脆弱性」がWindowsにて発見されており、そのエクスプロイト(脆弱性を攻撃するプログラム)が売られているというのです。
「Windows」にゼロデイ脆弱性か–闇市場に9万ドルのエクスプロイト
それによるとロシア人ハッカーが「Windows 2000」から現行の「Windows 10」まで影響を及ぼすゼロデイ脆弱性を地下フォーラムにて9万ドルで売っているようです。
売れるんですかね?日本円で約900万円ですよ!?まあ、当初950万ドルで売り出してから値下げしているので苦戦したのでしょうか。
そんなニュースに対して開発者側も「ゼロデイ脆弱性」発見者に報酬を与える制度の整備を進めているようです。
LINE、LINEアプリのセキュリティに関する脆弱性の報告により報奨金を支払う「LINE Security Bug Bounty Program」の常時運営を開始
以前より本制度を進めてきていたが、期限を設けずに実施していく格好だ。
LINE Security Bug Bounty Programの公式サイトに記載のある報奨金の額を見ると最高で1万ドルである。
一概に単純な比較で言えないし、また参加条件を満たしていないケースも考えられるが、開発者に報告するよりも公式外のマーケットで取り扱った方が良いお金になるのではないか?という仮説が立つ。
ハッキングを行う目的は確かに善意もあるが、やはりお金も重要なファクターではないか。そう考えると悪用する為に用いることを厭わないハッカーが地下に潜るのは必然である。
「当たり前だろ」という声も聞こえてきそうだが、ゼロディ脆弱性を悪用されない為に、脆弱性のバウンティーハンターを増やすべく、LINEやサイボウズのような報奨金制度を行う企業を増やす、並びに報奨金の額の引き上げなどが求められているだろう。
ただ、現状はハッカーの善意に任せる状況であり、セキュリティ対策は後手に回ってる状況であろう。
安全なサービスの提供に貢献するということ、またその実績を買われて評価されること、を想像しハッカーには行動してもらいたいものですね。