Samsungが自社製品の脆弱性を発見した人へ報奨金を支払う「Rewards Program」を開始!

最近は「脆弱性」という言葉をニュースなどで良く耳にするようになりました。脆弱性とはスマートフォン(スマホ)やパソコン(PC)などの製品やそれに搭載されているシステム(OS)を含めたソフトウェアなどの不具合や設計上のミスが原因で発生する欠陥のことを指します。

これに対し、多くの企業は自社で脆弱性を特定して修正を行い、利用者へセキュリティーアップデートを配信することによって脆弱性を潰しています。一方で、最近の製品は複雑化しており、GoogleやAppleなどの大手企業でも自社だけではどうしてもカバーできない脆弱性が出てきてしまっています。

そこで、それらの自社でカバーできない脆弱性を第3者に探してもらうように依頼し、報告された脆弱性の深刻度によって報奨金を支払う「Bug Bounty Program」というものをGoogleやAppleなどの各社が展開しています。

今回、そんなBug Bounty ProgramについていよいよSamsung Electronics(以下、サムスン電子)も2017年9月7日より脆弱性を発見して報告した人へ報奨金を支払うプログラム「Reward Program」を提供開始すると発表しました。どうやら同社も時代の流れに乗るようです。

【正式名「Samsung Mobile Security Rewards Program」】

先ほどはReward Programと記載しましたが、正式名は「Samsung Mobile Security Rewards Program」となります。同社の「Galaxy」シリーズをはじめとしたスマホやタブレットなどは驚異的なシェアを獲得しており、スマホでは販売台数世界1位の代表的なメーカーです。それはすなわち、サムスン電子製の機種を利用している人が全世界的に多くいるということを意味します。

そのため、サムスン電子の自社製品に対するセキュリティー問題は非常に深刻で、下手を打つと社会インフラを混乱させる事態にも繋がりかねません。これは脆弱性ではありませんが、昨年起きた「Galaxy Note7」の発火事故が発生率0.0108%とそれほど大きくないようにも思える割合ながらも多数の事故が起き、大きな問題となったことからもわかると思われます。

また同社ももちろんのことながら、自社製品のセキュリティー問題に真剣に取り組んでいますが、脆弱性というものは一度発見されてしまうと、すぐに悪意のあるハッカーが悪用するために極めて迅速に対応する必要があります。

そこで今回、サムスン電子は自社のエンジニアと第3者のセキュリティー研究者とのコミュニティーをReward Programというバグ報告報償制度を使って構築しようとしています。

セキュリティー研究者と記載しましたが、これはプロアマは問われていませんので、一部企業では限られた人だけをバグ報告報奨制度に参加させているケースもありますが、サムスン電子では定められたルールに従っていれば、誰でも報告できるようになっています。

【Reward Programへの参加条件】

サムスン電子のReward Programに参加する場合、以下の条件を満たす必要があります。またこのReward Programで支払われる報奨金は、サムスン電子が報告を受けたバグをその重要度からランク付けを行い、ランク別の報奨金を支払うということです。

・現在対象デバイスへ提供されている、最新のアップデートが適用されている必要がある
・サードパーティアプリケーションが原因の脆弱性は、サムスン電子のデバイス、アプリケーション、またはサービスに固有のものであること
・特定の脆弱性の重複したレポートを受け取った場合、最初のレポートのみが報酬の対象となる
・セキュリティに影響を及ぼさないバグは対象外
・ADBを含む、開発用のデバッグツールを使用して、デバイスに物理的に接続する必要がある脆弱性は対象外
・アプリケーションレベルのクラッシュが発生する物、または悪用される可能性が無い、MITM、SQLインジェクションの脆弱性は対象外
・ユーザー操作に大きく依存する物、フィッシングやクリックジャッキングなどのユーザーを騙すような物は対象外
・その脆弱性の発生条件が非常に複雑で、悪用される可能性が非常に低い物は対象外
・サムスン電子のデバイスだけでなく、他のAndroidデバイスにも影響があるサードパーティーアプリケーションの脆弱性は対象外
・他のバグ報告報奨制度の対象となる脆弱性は対象外
・サムスン電子の社員またはパートナー企業に属する人からの報告は対象外
・不正アクセスして得た、サムスン電子の機密情報を利用した報告は対象外
・法律や規則、第三者の権利(知的財産権を含む)を侵害しない
・報告を行った脆弱性は、サムスン電子が合意、承認するまで決して外部に公開しない
・韓国政府が指定した、特定の国に居住している人は、このプログラムに参加することができない
・居住している国の法律によっては、このプログラムの参加資格に追加の条件が設けられる可能性があることに同意する
・報告された内容が、サムスン電子やサムスン電子のパートナー企業に共有されることに同意する

そして、Reward Programの方針は予告なく変更されたり、プログラム自体が停止されることもあるとのこと。上記の条件やサムスン電子側が取り決めた内容に従って、バグ報告を行う必要があるというわけです。

この条件から今回のプログラムはサムスン電子の製品にしか存在しない脆弱性のみを対象としていることが分かります。もちろん、自社製品に対するバグ報告報奨制度なのですから当たり前とも言えますが、ただもし報告する場合はサムスン電子の製品にしか影響がないことをきちんと確認する必要があります。

【脆弱性は4段階でランク付けされ、さらに増額するケースも】

報告された脆弱性はサムスン電子の社内でレビューされ、それぞれ影響度に合わせて「Critical」および「High」、「Moderate」、「Low」の4段階でランク付けされます。このランクに応じて200ドル(約21,500円)~20,000ドル(約215万円)の間で報奨金が決定されます。

報告内容に有効な概念実証が記載されていない場合は、大幅に報酬額が減額される恐れがあります。脆弱性はその実現性が重要なわけですから、仕方のない措置でしょうか。

また報告される脆弱性の中でもTEEやブートローダー周りの脆弱性については、それが与える影響度によってはさらに報奨金が増額されるケースもあります。ただし、その脆弱性を実行するために、システム特権が必要な場合は大幅に減額されるようになっています。

あくまで報告された脆弱性だけで、システム特権の昇格まで含んだ脆弱性のみが増額の対象になるとしています。

【Reward Programの報告の流れ】

今回のReward Programで、脆弱性を報告する流れは以下の通り。なお、サムスン電子のReward Program担当と連絡を取る際は、サムスン電子のPGPキー(Finger Print「F5F3 8EEC 4388 E4E2 9184 78BD BA2D 9A24 CD38 64BE」)を使用して、メッセージの暗号化を行う必要があります。

1、セキュリティ報告ページを通じて脆弱性レポートを提出する
2、サムスン電子社内で、受けたレポートの内部レビューを実施し、その報告が妥当な物であれば、ランク付けを行う
3、サムスン電子社内で、報告された脆弱性の修正を行う
4、サムスン電子が、報告者に対して報酬額の通知を行う
5、サムスン電子が、報告者へ報酬を支払う

上記の流れで支払が行われ、最長で脆弱性報告から、報酬金支払いまで最長で2ヶ月程度かかるとのこと。

内容を見る限り、非常にしっかりとしたプログラムになっているように思われます。サムスン電子以外でもバグ報告報奨制度が用意されていますので、腕に自信のある人は参加して報奨金を見事獲得してみてはいかがでしょうか。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
サムスン電子 to Launch Mobile Security Rewards Program, Welcoming Security Research Community - サムスン電子 Newsroom
Rewards Program | サムスン電子 Mobile Security