［世界］
Windowsの脆弱性情報に2万ドルの懸賞金

所在地も電話番号も不明な“怪しい”リサーチ企業がWebサイトで募集

（2008年01月17日）

　あるセキュリティ・リサーチ企業が、まだ明らかになっていないWindowsのセキュリティ脆弱性に関する情報に、2万ドルの懸賞金をかけている。

　懸賞金をかけているのはDigital Armamentsという企業であるが、同社のWebサイトには電話番号も本社所在地も記載されていない。同社はWebサイト上の「Hacker's Challenge」のページで、米国東部標準時間2月29日深夜までに同社へ寄せられたWindowsの脆弱性に関する情報に賞金を出すと発表している。

　今回のHacker's Challengeに応募するには、Windowsへの有効な攻撃方法を図示し、さらに文書化する必要もあると、同社のWebサイトには書かれているが、掲載された応募要項にはスペル・ミスも多数見受けられる。

　脆弱性を発見したセキュリティ研究者に報酬を支払うのは違法ではないが、自社製品に影響が及ぶソフトウェア・ベンダーにしてみれば、おもしろくない事態と言えるだろう。

　2007年にはスイスに拠点を置くWabisabilabiが、脆弱性情報を売買できる研究者向けのオークション・サイトを開設し、一歩踏み込んだ報奨制度を提案した。批判も巻き起こったが、同社の幹部は研究者が闇市場にゼロデイ脆弱性を売る可能性もあると反論した。

　Microsoft製品のセキュリティ脆弱性は注目の対象になりやすいため、Microsoftは研究者にセキュリティ問題を個別に同社へ報告することを求めている。しかし一般的に、企業は研究者が発見したソフトウェアの脆弱性情報に対して報酬を支払っていない。

　Digital ArmamentsのWebサイトによると、同社は2003年に設立され、同年後半には米国にもオフィスを開設したという。

　Digital Armamentsは、発見した脆弱性情報に対して、現金のほかに株式や、「Digital Armaments Contribution Program」を通して株式と交換可能なクレジットといった形態で報酬を支払っていくようだ。

　今回の件に関して1月16日に同社へ電子メールを送ったが、本稿執筆時点ではまだ返答を得ていない。

(Jeremy Kirk／IDG News Service ロンドン支局)