リサーチャーとベンダー間をつなぐ架け橋に
賞金付きハッキングコンテストは、現在FacebookやGoogleなどの大手IT企業でも実施されている。その先駆け的存在が、Pwn2Own主催者であるHPの脆弱性リサーチ部門「Zero Day Initiative」(ZDI)だ。
ZDIは2007年、CanSecWestセキュリティカンファレンスで初の「Pwn2Own」を開催した。挑戦者は、主催者提供のMacBook Proをハッキングし、成功すればデバイスをお持ち帰りできた。最終的には、総額1万ドルの賞金が支払われた。
ZDIの存在意義は、大きく3つあるとヒューレット・パッカードのジェイコブ・ウエスト氏は言う。1つは、企業で利用される重要なアプリケーション、たとえばWebブラウザやモバイルOSなどのセキュリティ改善への貢献だ。ZDIでは、コンテスト以外にも常時脆弱性報告を受け付けており、さらには社内リサーチャーによる調査・報告も行っている。実際、マイクロソフトの脆弱性対応における最大の貢献者は、ZDI内のリサーチャーだ。
2つめは、リサーチャーとベンダーの橋渡しだ。「ZDIが仲介役になることで、リサーチャーであればベンダーごとに脆弱性報告をする手間が、ベンダーであれば報告者への個別対応の負担が軽減される。互いのコミュニケーションをより円滑化することで、責任ある公開を促進する」。
そして3つめは、HP顧客への迅速なパッチ提供だ。脆弱性報告から公式のパッチリリースまでの空白期間、IPS製品のTipping Pointには独自の修正パッチが適用され、ゼロデイ攻撃を防ぐことができる。「闇市場の経済が確立し、攻撃者が脆弱性情報を高額で買い取ろうと暗躍する現在、いかにリサーチャーに思い止まらせるかは、なかなか悩ましい課題だ」。そのストッパー役となるべく、ZDIの取り組みはこれからも続く。