Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

Mozilla web セキュリティバウンティプログラムの刷新

この記事は、2017 年 5 月 11 日付で Mozilla Security Blog に投稿された Relaunching Mozilla’s Web Security Bounty Program (筆者:April King)の翻訳です。この翻訳は公式なものではありません。詳しくは こちら をご覧ください。


この度 Mozillaweb セキュリティバグバウンティプログラムを刷新し、 web セキュリティバグの報奨金における透明性を向上させました。

歴史

バグバウンティプログラムは何年も前に Netscape初めて 創設したものですが、Mozilla は 2004 年 8 月に バグバウンティプログラムを開始しました。 当時は Linspire, Inc. と Mark Shuttleworth から資金提供を受け、 Firefox と他の Mozilla ソフトウェアで見付かった重大なセキュリティ脆弱性に対して $500 を支払っていました。 現在のバグバウンティでは 金額が 6 桁に達する こともあるため、当時の金額は牧歌的に見えるかもしれませんが、 別の視点ではセキュリティバグの発見に対するテクノロジー企業の姿勢が大きく前進したとも見ることもできます。

それから 6 年後の 2010 年 12 月Mozilla は web サービスにバウンティプログラムを導入した最初の会社の 1 つとなりました。 報奨金額の幅は $500 から $3000 と大きく前進でしましたが、当時は web セキュリティの状態改善に焦点を合わせていました。

最初に報奨された web セキュリティバグ(addons.mozilla.orgXSS 脆弱性)から現在に至るまで、 自身の専門性を私たちのユーザの保護に役立ててくださった世界中のバグハンターに、延べ数十万ドルをお支払いしてきました。

問題と解決策

バグバウンティプログラムの運用は、特に Mozilla のような企業にとっては常に困難が伴います。 これまで約 20 年の間 web を支え続けてくれたスタッフやコントリビューターがいることに加え、 私たちの web サイトの種類は飛躍的に増えてきました。 www.mozilla.org から www.bugzilla.orgarewefastyet.com に至るまで数多くありますが、 これらのサイトの中には Mozilla のオペレーションに対して 他のものよりも 遥かに大きなリスク を抱えています。

そして問題はこのリスク特性をバグハンターに説明する際に生じます。 Bugzilla における限定的な SQL インジェクションは、 Observatory での XSS 攻撃やコミュニティブログでのオープンリダイレクタとは Mozilla に対するリスクが異なります。 しかし、バグハンターにとってはリスクの度合いに興味がないことがしばしばです。 彼らが知りたいことは、純粋にそのサイトのバグが報奨対象かどうかと実際に支払われる金額です。

概ね報奨対象の web サイトは合理的にリスト化されていると思いますが、実際の支払金額はケースによって異なります。 さらに、リストに明示的に載っていないサイトのバグに対する金額の判断はより難しくなります。

金額がバグハンターの期待と同等、もしくは超えるようであれば何も問題ありません。 しかし期待を下回ってしまった場合、バグハンターの方はがっかりしてしまうかもしれません。 さらには、特定のサイトに対して金額の例外を設けてしまうと、 他にも例外があるのではと期待させてしまう可能性があります。

現在

そこで私たちは先のような多くの問題を解決するべくバウンティプログラムを刷新し、 同時に報奨対象となる web サイトとバグの種類を増やしました。 さらに、それぞれのバグと web サイトの種類に対応する支払金額をリスク特性に基づいて 明示的にリスト化しました

支払金額の一覧

(詳しくは 表の全体を 参照してください)

明確で直感的な支払金額の表を作成したことで、 バグハンターの方々は報奨金が受け取れると分かっているバグの発見に時間と労力を注げるようになり、 前もって実際の支払金額を知ることもできます。 加えて、バグバウンティの Hall of Fame に登録されるバグの種類も拡大しています。 これらのバグに金銭的な報酬はありませんが、 バグハンターによる web の安全性に対する功績を広く感謝する私たちなりの方法として行っています。

私たちの ロゴ から 製品 に至るまで、Mozilla は公開性に自負を抱いている企業です。 報奨金額に対する公開性は世の中でまだ進んでいない領域ですが、 今回の刷新によって web 全体におけるバグバウンティプログラムの公開性向上に貢献できることを願っています。

web バグバウンティプログラムに既に貢献していただいている皆さんには、 この仕組みが皆さんの労力を集中させることに繋がれば幸いです。 初めて間もない皆さんには、ぜひ一緒にインターネットをより安全な場所にしていきましょう!