自社のソフトウェアやシステムの脆弱性を発見する手段として、社外の善玉ハッカーに頼ろうとする企業が増えている。脆弱性を見つけて報告してくれた研究者などに賞金を贈呈する「バグバウンティープログラム」の制度を導入する企業が相次ぎ、Googleなど早くからこうした制度を活用していた企業は賞金額の引き上げに動く。背景には新型コロナウイルス感染拡大の影響もあるようだ。
各国の企業と組んでこうした制度を支援してきたHackerOneがこのほどまとめた統計によると、2020年4月までの1年間でバグバウンティープログラムを通じて発見された脆弱性は20万件を超え、ハッカーに支払われた賞金の総額は、上位10種類の脆弱性の合計で2350万ドル(約24億円)に上った。
脆弱性の種類別に見ると、支払われた賞金の総額が最も多かったのは、前年に続いてクロスサイトスクリプティング(XSS)の脆弱性だった。
XSSはWebアプリケーションを脅かす脆弱性で、悪用されればユーザーのアカウントを制御され、パスワードや銀行口座番号、クレジットカード番号などの情報が盗まれることもある。この脆弱性に対して支払われた賞金の総額は420万ドルと、前年比で26%増えた。
深刻度で分類すると、XSSは一般的に、高~中程度に分類される脆弱性。1件当たりの賞金は平均で501ドルと、最高レベルの脆弱性の3650ドルに比べてかなり安い。「つまり組織は、このよくありがちな、痛みを伴うバグを安上がりに緩和できている」(HackerOne)
こうした脆弱性の発見を外部のハッカーに頼るやり方が改めて注目されるようになったのは、新型コロナウイルスの影響でデジタルトランスフォーメーションが加速したことも一因だとHackerOneは解説する。
「自分たちのリソースを補うための手早くコスト効率が高い解決策として、ハッカーの力を借りるセキュリティ対策への関心が高まり、予算が縮小する中で結果に対して対価を支払うアプローチが正当化しやすくなった」
新型コロナウイルスの影響は、バグバウンティー制度に詳しい別の専門家も指摘している。
2012年からこうした制度を推進してきたBugcrowd創業者のケイシー・エリス氏は、threatpostのインタビューの中で、 「外の世界のセキュリティ専門家の助けを借りることに対して、企業の抵抗感が少なくなった」と語る。
同氏によると、新型コロナ対策としてテレワークを余儀なくされたことで、組織内に物理的に存在していない人物に協力してもらうやり方が、企業にとって受け入れやすくなった。外出や通勤時間が減って自由に使える時間が増えた若者などが、賞金稼ぎに時間をかける傾向も見られるという。
Zoomのようなデジタルプラットフォームに対してはセキュリティ強化圧力が強まり 相次ぐ問題が発覚したZoomは、4月にバウンティープログラムの強化を発表した。中国ByteDance傘下のTikTokは米政府との対立が深まる中で、10月にHackerOneと組んでバウンティープログラムを立ち上げた。
ただし制度を導入しても利用してもらえなければ意味はない。脆弱性情報を闇サイトで売った方が稼げるのであれば、そちらに流れるハッカーもいるかもしれない。そこで早くからバウンティープログラムを導入しているGoogleなどは、インセンティブを高める狙いで賞金の額をどんどん引き上げている。Facebookは常連ハッカーをランク付けして貢献度に応じてボーナスを上乗せする制度「Hacker Plus」を導入した。
消極的だったAppleも、2019年からバウンティープログラムを拡充してiOSやmacOSの脆弱性にも賞金を支払うようになり、賞金の金額も増額した。今年10月には、研究者グループが3カ月で55件の脆弱性を発見し、総額28万8500ドルの賞金を獲得したと発表して話題になった。
ハッカーの力を借りているのはIT企業だけにとどまらない。トヨタ自動車は今年3月、中国Tencent Keen Security Labの報告を受けてレクサス車の脆弱性を修正したと発表した。HackerOneのプラットフォームを利用している顧客は米国防総省やStarbucks、任天堂、Uberなど多岐にわたる。
HackerOneのレポートによると、バグバウンティープログラムを通じてハッカーが受け取った賞金は世界全体で前年より87%増えた。特にアジア太平洋地域は前年比で131%の大幅増だった。Tencentなどの中国勢は、GoogleやAppleといった大手の製品の脆弱性を次々に発見している常連で、この世界での存在感を増している。
■■■■HackerOneのレポート(機械翻訳)■■■■
HackerOne のレポートでは、クロスサイト・スクリプティング、不適切なアクセス制御、情報開示など、最も一般的で影響力のある脆弱性のトップ・リストが明らかになっています。
不確実性の高い時代にあって、セキュリティはこれまで以上に緊急の優先事項となっています。組織はこれまで以上にテクノロジーへの依存度を高めており、テクノロジーに依存している人は誰でもデータ漏洩ですべてを失う可能性があります。しかし、最近の脆弱性の中には、攻撃者のように考えることができる友好的なハッカーによって発見、発見、報告されたという共通点があります。
"今年は、世界中の企業が製品やサービスのデジタル化を余儀なくされました」とHackerOneの製品管理担当シニアディレクターであるMiju Han氏は述べています。"企業は新たな収益源を求めて、ライフスタイルが劇的に変化した顧客のためにデジタル製品を開発しました。何千万人もの労働者が、準備ができているかどうかに関わらず、リモートワークを始めました。このようなデジタルトランスフォーメーションの加速化に伴い、CISO は既存システムのセキュリティを確保しつつ、新たなニーズに迅速に対応しなければなりませんでした。このような障害に直面したセキュリティリーダーは、自社のリソースを増強し、厳しい予算の下でより正当化できる成果報酬型のアプローチを提供するために、軽快で拡張性があり、コスト効率の高いソリューションとして、ハッカーを活用したセキュリティを新たに評価するようになりました。
HackerOneは、業界で最も信頼性の高い脆弱性のデータベースを維持しています。ハッカーが発見した有効な脆弱性は20万件を超え、HackerOneはこのデータを調査して、最も影響力があり、報酬が得られる脆弱性のトップ10のタイプから洞察を導き出しました。
HackerOneが発表した2020年の最も影響力があり、報われる脆弱性の種類トップ10は、降順に以下の通りです。
1. Cross-site Scripting (XSS)
2. Improper Access Control
3. Information Disclosure
4. Server-Side Request Forgery (SSRF)
5. Insecure Direct Object Reference (IDOR)
6. Privilege Escalation
7. SQL Injection
8. Improper Authentication
9. Code Injection
10. Cross-Site Request Forgery (CSRF)
2019年の脆弱性トップ10と比較して今年のトップ10を詳しく見てみると、主な調査結果は以下の通りです。
クロスサイトスクリプティングの脆弱性は、XSS攻撃を悪用した攻撃者がユーザーのアカウントを制御し、パスワード、銀行口座番号、クレジットカード情報、個人を特定できる情報(PII)、社会保障番号などの個人情報を盗み出す可能性があるため、ウェブアプリケーションに対する大きな脅威であり続けています。2年連続で最も表彰された脆弱性であるXSSの脆弱性は、組織の懸賞金総額が420万米ドルに達し、前年比26%増となっています。これらのバグは報告されたすべての脆弱性の18%を占めていますが、平均的な懸賞金はわずか501米ドルです。 重要な脆弱性に対する平均懸賞金が3650米ドルであることから、組織はこの一般的で痛みを伴う可能性のあるバグを安価に緩和していることになります。
不適切なアクセス制御(2019年の9位から上昇)と情報開示(依然として3位をキープ)は依然として一般的です。Improper Access Controlの受賞は前年比134%増の400万ドル強でした。情報開示は前年比63%増と、それに遠く及ばなかった。アクセス制御の設計決定は、技術ではなく人間が行わなければならず、エラーの可能性が高く、どちらのエラーも自動化されたツールを使って検出することはほぼ不可能です。
ファイアウォールの背後にある内部システムを狙って悪用される可能性があるSSRFの脆弱性は、クラウド移行のリスクを示しています。以前は、SSRFのバグはかなり良性で、内部ネットワークのスキャンや、時には内部の管理パネルへのアクセスを許可するだけだったため、7位の座を守っていました。しかし、デジタルトランスフォーメーションが急速に進むこの時代では、クラウドアーキテクチャと保護されていないメタデータエンドポイントの出現により、これらの脆弱性はますます重要になってきています。
SQLインジェクションは前年比で減少しています。OWASP などによって、ウェブアプリケーションのセキュリティに対する最悪の脅威の一つと考えられていますが、SQL インジェクション攻撃の規模は、ビジネス情報、知的財産、重要な顧客データを含む機密データが、これらの攻撃の影響を受けやすいデータベースサーバに保存されているため、壊滅的なものになる可能性があります。過去数年の間、SQLインジェクションは最も一般的な脆弱性の種類の1つでした。しかし、当社のデータによると、2019年の第5位から2020年には第7位まで、前年比で低下しています。セキュリティを左遷することで、組織はハッカーなどを活用して攻撃面を積極的に監視し、バグがコードに侵入しないようにしています。
"最も一般的な脆弱性の種類を見つけることは、安価である "とハン氏は続けた。"賞金を獲得した脆弱性の上位10種類のうち、平均賞金額が10%以上上昇したのは、不適切なアクセス制御、サーバー側リクエストフォージェリ(SSRF)、情報開示のみでした。その他は平均値が低下するか、ほぼ横ばいでした。目標が変化し、攻撃対象が拡大するにつれて、高価で煩雑になる従来のセキュリティツールや手法とは異なり、ハッカーを活用したセキュリティは、時間が経つにつれて、実際にはより費用対効果が高くなります。ハッカーがいれば、悪質な行為者が最も一般的なバグを悪用することを防ぐためのコストが低くなってきています。"
HackerOne Top 10 Most Impactful and Rewarded Vulnerability Types - 2020 Editionの詳細については、https://www.hackerone.com/top-10-vulnerabilities をご覧ください。