社会を支えるバグハンター、最大の悩みは訴訟リスク

バグハンターの課題

バグハンターの本質は、ソフトウェアを開発した企業でさえ気づいていない不具合をいち早く見つけ出し、ユーザーが不利益を被ることを未然に防ぐこと。これはあらゆるホワイトハッカーにも言えることです。

これは全員の利益になることですが、それは長期的に見た話。企業にとっては製品の欠陥が公にされるというわけで、ごく短期的に考えればマイナスであるとも考えられます。

バグハンターにとってこれまでどんなバグを発見したかを公表することは非常に重要。ちょうどソフトウェア開発者がこれまでどんなソフトウェアやサービスを開発したかでその能力を測られるのと同じ。バグハンターが自分の能力を証明するためにはこれまでにどんなバグを発見したかを公に発表することが重要ですが、それをよしとしない企業との軋轢が問題になっています。

そうした摩擦は2017年に起きたDJIの件に顕著に表れています。

2017年、ドローン開発会社のDJIは、自社でバグ・バウンティー・プログラムを展開。バグハンターにソフトウェアのバグ発見を依頼しました。

その後、あるハンターが重要なバグを発見してDJIに報告。彼はこれで3万ドルの報奨金が受け取れるはずでした。

ところがDJIのプログラムには、発見したバグの内容を公表しないという条件がつけられています。その条件だと3万ドルは手に入りますが、この案件を自分の功績として公表することができません。

最終的にこのハンターは手柄の公表を金銭よりも優先し、プログラムの一環として報告するのではなく独自に発見したバグとして公表することを決定しました。3万ドルをあきらめてでも、自分の技術を証明することに役立てることを選んだのです。

するとDJIは手のひらを返し、彼を自社サーバーに侵入してデータを盗み公表したハッカーだとして非難し始めたのです。同時にバグ・バウンティー・プログラムも閉鎖されました。

バグを発見したことで訴訟沙汰になったケースもあります。

2018年、パスワード管理ソフトのKeeperに脆弱性があるというニュースが発表されました。発表時点でその脆弱性は解消されており、そのこともあって発表されたのですが、Keeper側はこれを事実無根の内容であるとして、執筆者を名誉毀損で訴えました

このように訴訟のリスクがつきまとってしまえば、バグハンターのみならずホワイトハッカーによる活動は萎縮してしまいます。これを防ぐため、バグ・バウンティー・プログラムにはバグを発見したハッカーを提訴しないという保護措置条項が盛り込まれている場合がほとんど。先述のDJIのプログラムにはそもそもこれが記載されていなかったという話もあり、バグハンター業界は制度をしっかり整備する必要に迫られています

まとめ

このように、ただバグを発見するだけがバグハンターではないのです。それはある意味、人々の暮らしを守るための活動でもあります。

ある意味で、金銭以上に名誉が得られる仕事だと言っても過言ではないのかもしれません。それだけにその仕事がより報われ、人々の役に立つように、その意義の周知と制度の整備が求められているのです。