ここ最近、米フェイスブックや米グーグルといった人気のあるネットサービス企業の間で、ハッカーの技術や知恵を借りて自社サービスのセキュリティーを向上させようという動きが広がっている。
約3週間で4万ドルを支払う
例えばフェイスブックは8月29日、同社が1カ月前に始めたセキュリティーバグ報奨金プログラムに多くの協力が得られ、プログラム開始からこれまでの間に総額4万ドル以上を支払ったと発表した。
フェイスブックは7月末に、“善玉ハッカー”を意味する「ホワイトハッツ(White Hats)」というポータルサイトを立ち上げた。
同社のソーシャル・ネットワーキング・サービス(SNS)のサイト上にあるセキュリティーホール(セキュリティー上の不備)をハッカーに見つけてもらい、このポータルで報告してもらう。有益な報告をしてくれた人には報奨金を支払うというものだ。
1件のバグ(プログラミング上の欠陥)に対する基本報奨額は500ドルで、問題の深刻度によって金額が加算される。フェイスブックによれば、これまでの3週間で6件のバグを報告して7000ドルを受け取った人もいる。非常に重要な報告には1件に付き5000ドルを支払ったとしている。
ハッカーとのイタチごっこに歯止めかける
フェイスブックがこうしてハッカーに報奨金を支払うのは、彼らとの間でイタチごっこが続いているからだ。SNSなどのネットサービスを構築するうえでプログラミングの欠陥は付き物。そのためフェイスブックのプログラマーは日々、欠陥の発見と修正に努力している。
それらを放置しておくと、サイトの内容を書き換えられたり、ユーザーとサービス間のやりとりを傍受され、別のサイトに誘導されたり、個人情報を盗み出されたりする。
ここで言うハッカーとは、こうした悪意のある攻撃を仕掛けるサイバー犯罪者ではなく、サイトに存在する脆弱(ぜいじゃく)性をいち早く発見して、そのことをネット上やメディアに暴露してしまう人のことだ。