脆弱性報奨金制度(バグ・バウンティ)が1周年を迎えました

ENGLISH   |   JAPANESE

Uber では数年間の非公開プログラムを経て、1 年前に脆弱性報奨金制度を立ち上げました。脆弱性報奨金は、全ての組織にとって最適な手法ではなく、熟慮なしに開始すべきものではありませんが、1 年経った今、次の理由で Uber が正しい選択をしたと確信しています。

第一に、公開プログラムにより、さまざまな経験とバックグラウンドを持つ研究者と交流する機会を得ることができました。経験豊富な研究者から学びながら、若い研究者はそのスキルを向上させることができました。さらに脆弱性報奨金制度はインターネットセキュリティの改善を図るだけでなく、セキュリティ分野でのキャリアをスタートするきっかけとして、あるいは世界で最高峰の専門家とのネットワークを構築する手段として素晴らしい方法です。

プログラムを開始したことで、今まで知ることのなかった世界中の才能あふれる研究者に出会うことができました。彼らの多様な経験と考え方は、今まで考えなかったような攻撃シナリオについての洞察を与えてくれ、異なる環境や場所にいる Uber ユーザーのセキュリティを大幅に向上しています。

この一年は、Uber のセキュリティチームにとって素晴らしいものとなりました。そして、世界にいる 500 人以上の研究者とこの成果を共有できることを嬉しく思っています。

測定方法とマイルストーン

本制度についての主なアップデートは次の通りです。

  • 2016 年に公開して以降、研究者に 86 万ドル以上を投資しています
  • 過去 1 年間で、セキュリティ研究者が Uber 製品およびサービスにある 500 以上の脆弱性を発見し、それらを修正することができました
  • SN比(一定の信号に対するノイズの混入率)は 2016年8月から 30% 改善しました。現在のSN比は 1:5 となっています(※)
  • Uber のプログラムでは、1 つの国のセキュリティ研究者が報奨金を独占しているというわけではなく、26 か国の研究者がトップ 50 に入っています
    • (ABC順)オーストラリア、バングラデシュ、ベラルーシ、ベルギー、ブラジル、ブルガリア、カナダ、中国、エジプト、フィンランド、フランス、インド、イスラエル、オランダ、ナイジェリア、パキスタン、ポーランド、ポルトガル、ロシア、スウェーデン、台湾、トルコ、ウクライナ、イギリス、アメリカ、ベトナム

フィードバックおよび今後の予定

Uber のプログラムをさらに良くするために、惜しみなくフィードバックをくださった数百名の研究者の皆様にとても感謝しています。研究者とのオープンなコミュニケーションの場を設けることは、チームにとって優先事項となっており、何が機能し何が機能しないのか、常に意見を伺い確認したいと考えています。

当初いただいた研究者からのフィードバックに基づき、回答時間を短縮し、深刻度の評価や報奨金の決定に関して透明性を高められるように努めました。直近のフィードバックを見ると、この努力が奏功し、正しい方向に向かっていると示されています。多くの研究者が我々のトリアージ(対応優先度)のプロセスの中で、Uber チームとのやり取りを素晴らしいものとして紹介してくださっています。これらの取り組みは、解決までの時間を短縮するだけでなくお互いに学ぶことができ、非常に意義のあるものとなりました。この場を借りてお礼申し上げます。

Uber のプログラムで最も評価されている取り組みの一つに、Uber のサービス概要やセキュリティの問題を発見するためのコツをまとめた Treasure Map があります。研究者は Uber が最も注意を払っているサービスや脆弱性の調査を優先でき、これによって最も影響力のある脆弱性の発見や高い報奨金につながっています。Treasure Map の成功によって、このような情報を引き続き出していけるように取り組んでまいります。

注目すべき脆弱性

この1年で数百ものバグが発見されましたが、その中でユニークなものをご紹介します。

  • uSSH の特権 eエスカレーション:
    Uberのセキュリティチームは、最近、Uber 初のオープンソースのセキュリティプロジェクトpam_sshモジュールを公開しました。これによって、SSH鍵を継続的に再認証できるようになります。このリリース発表後数時間で、Solar Designerが内部特権のエスカレーションを許可する可能性のある問題を報告しました。このレポートは、脆弱性、セキュリティの影響、再現可能なステップの明確かつ簡潔で教科書のような品質だっただけではなく、将来的な解決策の発見にもつながりました。全てのスレッドはこちらにあるHackerOneレポートでご覧いただけます。
  • ベンダー製品のSQLインジェクション:
    この一年で、数名の研究者が Uber の利用するベンダー製品にある脆弱性を報告してくださいました。例えば、kazan71pはAnomali製品にあるSQLインジェクションの脆弱性を発見しました。これは Uber のインフラの外でホストされており、Uber の従業員やユーザーのデータが漏えいするものではありませんが、研究者が注目し、その認識を改めるような潜在的なリスクが含まれていました。Anomali社とUber はすぐに協力体制を敷き、数日中にその問題を解決しました。ベンダーにとっては、Uber のセキュリティに関わるサプライチェーンに非常に大きな影響があるためとても意義のあるものとなりました。この報告についてもこちらにあるHackerOneレポートでご覧いただけます。
  • Uber でただ乗り:
    Temmyscriptはこの脆弱性報奨金制度の公開後すぐにメンバーになってくださった一人で、Uber が受けた最もユニークなレポートを報告してくださいました。彼はいつまでもUberを無料で使うことができる、乗車中に支払情報を操作する方法を発見しました。Temmyscriptのレポートと他の方の出した無料乗車のレポートとの違いは、アカウントが未払いの状態にならず、Uber のシステムがそれを未払い代金として認知せず警告が出ないというものでした。これはユーザーには影響のないものでしたが、Uberに直接的な影響のあるもので、レポートの独創性と技術的な正確性に感謝しています。詳細はこちらのHackerOneレポートをご覧ください。

※一定の信号に対するノイズの混入率とは、受信した全てのレポートの中で、そのレポートが正当であると認められた問題の数を比較した数字です。Uber では、(解決済み+審査済み)/(有益+重複+該当なし)で算出します。この測定基準で時間をかけて計測することで、予測曲線からはみ出した正当な報告をブロックすることなく、報告量を抑えることを目指します。 つまり、これは静的なSN比よりも、より低い比率になる傾向にある方が重要であることを示しています。