IT系のニュースを見てたら、面白い話題が・・・
LINEの脆弱性についてはたまに耳にする事がありましたが、そしたら、その対策の一環とも言える制度がLINE運営の方から発表になったようで。
LINEアプリの脆弱性を見つけたら報奨金
「LINE Bug Bounty Program」本格展開(ITメディア)
個人的にはこれは非常に画期的な事と思うし、Wordpressの脆弱性の発見と言うのも、こういうスキルを持ってる人達の報告により修正される事が多いのは知ってました。
それで、このLineの報奨金のサイトに行ってみて、その貢献者の名前にさっと目を通したら、Special Contributorsの所に見覚えのある名前が・・・
個人的な知り合いとかじゃなくて、このサイトでWordPressのアップデート(4.5.2)のリリースについて書いた時、Wordpressの脆弱性の発見に貢献した人の名前が、ここにも載っていたと言う事です。記事を書いたから、この名前を覚えていたと言うか・・・(変な記憶力が強くてすみません。この記憶力が自分の武器でもありまして)
このWPの記事を書いた時、こういう脆弱性を発見するスキル持ってる人ってどんな人なんだろうな・・・とかちょっと興味持ちまして、その御仁ついて書かれた記事を発見。
同じくIT Mediaの記事で2014年のものですが、今回のWordpressのアップデートに至った脆弱性発見に貢献したキヌガワさんとは、実はすごい実績がある人のようで。
Googleへの報告件数は世界2位:
脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった(2014年)
これは2014年の記事なものの、この記事を読んでみると、Googleやマイクロソフトは、今回LINEが立ち上げた脆弱性発見に報奨金を払うシステムを既に立ち上げていた事がわかります。
それで、キヌガワさんは、ここ数年、脆弱性関係でよく目にするXSS(クロスサイトスクリプティング)に強いと言う事で、それも脆弱性発見が趣味とか、すごい人が居るもんだ・・・と、個人的にひれ伏しそうになりましたw ネットの安全とは、こういう技術を持ってる人たちに守られてる事も忘れちゃいけない・・・と言う意味で。
2014年のITメディアの記事にはこう書かれてます。
バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。
(略)
しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。
それから2年経った今、大繁栄してるLINEも報奨金制度に乗り出して、バグ潰しに前向きになっているようですが、2105年のLINEの脆弱性発見の貢献者に日本の技術者の名前が多い事も、頼もしく思える事のように思えます。
今年の3月には、TechCrunchのこういう記事もありました。
ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、
バイドゥなどが導入
この記事にもあるように、Bug Bountyを運営するスプラウトと言う会社の技術者が、去年のLINEの脆弱性発見に貢献している事は興味深い事です。
これだけネットが普及した今、これからは運営側が脆弱性潰しにこういう制度を設けているのか、安全の基準の一つにもなって行くのかな・・・。
多分、日本でSNSしたり記事読んだり程度のネット利用しかしないような人には、脆弱性とか言われてもピンと来ない人も居るのかもしれないけど、しかし、Wordpressでサイトを運営してると、嫌でもそこに目が行くと言うか、個人的には良い勉強をさせて貰ってます。