ショーン・サリバン
エフセキュアのAnti-Malware Unit(マルウェア対応部門)に所属する、セキュリティ脆弱性の専門家カルヴァンから、以下のメッセージを預かった。AMUチームは、主に顧客ケアおよびサポート業務を担当する部署である。
ブログ読者の皆様、明けましておめでとうございます。早いもので、エフセキュア脆弱性報奨金プログラム(F-Secure Vulnerability Reward Program: バグ発見・報告に対する報奨金制度)が始まって1年が経ちました。2016年の本プログラムの活動状況は、おおむね以下の通りです。
・ 60件ほどの興味深い脆弱性報告が寄せられました
・ 35件の脆弱性報告に対して、総額で約30,000ユーロの報奨金をお支払いしました
・ うち、1件の重大な脆弱性に関しては、5,000ユーロの報奨金をお支払いしています
・ 寄せられた脆弱性情報を基にして、2件のセキュリティアドバイザリをリリースしました。
昨年中に寄せられた脆弱性情報は、エフセキュアにとって非常に有益なものとなりました。興味深い脆弱性攻撃の手法をいくつか確認できたことにより、エフセキュアの開発チームでは、こうした情報を活用し、内部プロセスのさらなる改善に役立てています。なお、エフセキュア製品の改善にご貢献いただいたリサーチャーの皆様につきましては、感謝の意を表し、「Hall of Fame」(殿堂)ページにてお名前を掲載させていただいています。
その一方で、このようなプログラムは、私たちにとって新しい試みであったこともあり、至らない点や手違い等も、いくつか見受けられたかと思われます。そのような点につきましては、この場をお借りしてお詫びいたします。そうした反省点を踏まえ、2017年の報奨金プログラムでは、以下のような改定を行うこととなりました。
・ エフセキュア脆弱性報奨金プログラムは、1年間、期間が延長されます(2017年12月31日まで)。
・ これまで、脆弱性報告を受けてから5営業日以内をめどに、受付確認メールをお送りしてきました。今後は、これに加えて、受付確認メールから10営業日以内をめどに、検証作業の進捗状況についてもメールでお知らせいたします。
・ 現在、報奨金額の一覧表を作成中です。これにより、どのような脆弱性情報に対してどのくらいの額の報奨金が支払われるのかよりご理解いただけることでしょう。エフセキュアサイトの報奨金プログラムのページに掲載する予定ですので、ご確認ください。
・また、エフセキュアではどのような情報を良質な脆弱性報告とみなしているかを明確化していく所存です。この点についても、エフセキュアサイトの報奨金プログラムのページで更新していく予定です。
今後とも、エフセキュアのお客様のセキュリティ向上に役立てるべく、脆弱性のリサーチにご協力いただきますようお願い申し上げます。報奨金プログラム参加方法等の詳細につきましては、こちらをクリックしてご確認ください。ご一緒に、バグ退治を楽しみましょう。
カテゴリ