ニュース系
VIP系
厳選ピックアップ
見逃せない2chまとめ
1: 夜更かしフクロウ ★ 2014/11/02(日) 09:06:16.51 ID:???.net
http://www.yomiuri.co.jp/it/security/snews/20141031-OYT8T50180.html
プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。
IT企業が始めたそんな試みが注目されている。
バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、その情報は攻撃者の間で高値で売買されている。
そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。
脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子)
■外部通報に報奨金も
「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」
東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。
自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。
これまで技術者や学生から200件以上の報告があり、約100件を脆弱性と認定、約810万円の支払いを決めた。
報告を受けると、その内容を社内のチームで検証、修正プログラムを用意した上で公表する。
制度導入後、外部からの通報は3倍以上に増えた。
その対応も大変だが、「客から『そんなに欠陥が見つかるなんて、危ない会社なのか』と誤解されるのがつらいところ」(伊藤さん)。
導入前には社内でも「会社の信用を落とす」との異論があったという。
だが、伊藤さんらは「脆弱性を放置するより、積極的に見つけて直す方が安全なんだと理解してもらおう」と説得して踏み切った。
■サイバー攻撃激化背景に
報奨金制度は国内では珍しいが、海外では何年も前から広がっている。
米ソフト開発のモジラが2004年に始め、今ではグーグルやペイパル、マイクロソフトなども実施。
発見者と企業を仲介する脆弱性報告サイトも次々登場している。
中には1万ドル以上で買い取られる情報もあり、高額賞金を狙う「バグ・ハンター」と呼ばれる人たちもいる。
企業が金を払ってでも脆弱性情報を入手しようとする背景にはサイバー攻撃の深刻化がある。
「まだ存在を知られていない脆弱性を使うと、対策が講じられていないため攻撃が成功しやすい。このため脆弱性情報の価値が上がっている」とサイバーディフェンス研究所の名和利男理事はみる。
自分たちがみつけた脆弱性情報を売買する闇サイトは名和氏が確認しただけで数千件あり、日本円で十数万~数十万円に相当するビットコインで売られているという。
こうしたブラックマーケットは年間数千億円規模との見方もあり、「社会が脆弱性を発見する行為を高く評価しないと、どんどん裏の世界に流れてしまう」と懸念する。
イラスト:攻撃を防ぐため外部の目を借りて脆弱性を早く修正する仕組み
プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。
IT企業が始めたそんな試みが注目されている。
バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、その情報は攻撃者の間で高値で売買されている。
そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。
脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子)
■外部通報に報奨金も
「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」
東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。
自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。
これまで技術者や学生から200件以上の報告があり、約100件を脆弱性と認定、約810万円の支払いを決めた。
報告を受けると、その内容を社内のチームで検証、修正プログラムを用意した上で公表する。
制度導入後、外部からの通報は3倍以上に増えた。
その対応も大変だが、「客から『そんなに欠陥が見つかるなんて、危ない会社なのか』と誤解されるのがつらいところ」(伊藤さん)。
導入前には社内でも「会社の信用を落とす」との異論があったという。
だが、伊藤さんらは「脆弱性を放置するより、積極的に見つけて直す方が安全なんだと理解してもらおう」と説得して踏み切った。
■サイバー攻撃激化背景に
報奨金制度は国内では珍しいが、海外では何年も前から広がっている。
米ソフト開発のモジラが2004年に始め、今ではグーグルやペイパル、マイクロソフトなども実施。
発見者と企業を仲介する脆弱性報告サイトも次々登場している。
中には1万ドル以上で買い取られる情報もあり、高額賞金を狙う「バグ・ハンター」と呼ばれる人たちもいる。
企業が金を払ってでも脆弱性情報を入手しようとする背景にはサイバー攻撃の深刻化がある。
「まだ存在を知られていない脆弱性を使うと、対策が講じられていないため攻撃が成功しやすい。このため脆弱性情報の価値が上がっている」とサイバーディフェンス研究所の名和利男理事はみる。
自分たちがみつけた脆弱性情報を売買する闇サイトは名和氏が確認しただけで数千件あり、日本円で十数万~数十万円に相当するビットコインで売られているという。
こうしたブラックマーケットは年間数千億円規模との見方もあり、「社会が脆弱性を発見する行為を高く評価しないと、どんどん裏の世界に流れてしまう」と懸念する。
イラスト:攻撃を防ぐため外部の目を借りて脆弱性を早く修正する仕組み
引用元: ・【IT】求むバグ・ハンター・・・プログラム欠陥発見人 [2014/10/31]
2: 夜更かしフクロウ ★ 2014/11/02(日) 09:06:36.32 ID:???.net
■「理不尽な対応も多い」
日本人バグ・ハンターの一人、東内(とうない)裕二さん(40)に話を聞いた。
これまで、米ヤフーやグーグルなどの脆弱性を報告して100万円以上の賞金や、企業ロゴの入ったTシャツやボールペンなどの記念品を受け取った。
現在無職なので小遣い稼ぎの感覚もあるが、脆弱性を探すことは単純に楽しいし、通報した結果、安全になるならうれしいと思うから。
でも、日本は体制が整っていないので通報しにくい。
特に、サイトの脆弱性の場合、理不尽な対応も多い。
運営者に通報しようにも専用窓口がなく、代表電話の受付に説明しても話は通じないし、ようやく技術部門につなげてもらっても、無視されることも。
不正アクセス禁止法に触れない範囲でチェックしているが、それでも犯罪者のようにあしらわれることもある。
僕は別にお金をもらえなくても、Tシャツとかの記念品でもいいし、サイトに謝辞を掲載してもらうだけでもいい。ようは感謝してほしいだけ。
脆弱性報告サイトの一つ、HackerOne。
東内さんはヤフーの賞金獲得ランキング5位に
海外には、見つけた脆弱性の危険度や難易度などを評価したランキングサイトもある。
上位者は仲間内で尊敬されたり、一流企業から勧誘されたりするので、もっと探そうという動機付けになる。
脆弱性を探す行為に敬意を表することが、情報を悪いサイドに流さないだけでなく、若い技術者の育成にもつながるのではないか。
<脆弱性>
バグや仕様上の欠陥のために生じるセキュリティー上の弱点。
第三者にはできないはずの操作ができたり、見えないはずの情報が見えたりするため攻撃に悪用されやすい。
バグが見つかるのは珍しいことではなく、マイクロソフトは年100件前後を公表し、その都度、修正プログラムを配布して利用者に更新を求めている。
写真:脆弱性を探す東内さん(23日、都内で)
日本人バグ・ハンターの一人、東内(とうない)裕二さん(40)に話を聞いた。
これまで、米ヤフーやグーグルなどの脆弱性を報告して100万円以上の賞金や、企業ロゴの入ったTシャツやボールペンなどの記念品を受け取った。
現在無職なので小遣い稼ぎの感覚もあるが、脆弱性を探すことは単純に楽しいし、通報した結果、安全になるならうれしいと思うから。
でも、日本は体制が整っていないので通報しにくい。
特に、サイトの脆弱性の場合、理不尽な対応も多い。
運営者に通報しようにも専用窓口がなく、代表電話の受付に説明しても話は通じないし、ようやく技術部門につなげてもらっても、無視されることも。
不正アクセス禁止法に触れない範囲でチェックしているが、それでも犯罪者のようにあしらわれることもある。
僕は別にお金をもらえなくても、Tシャツとかの記念品でもいいし、サイトに謝辞を掲載してもらうだけでもいい。ようは感謝してほしいだけ。
脆弱性報告サイトの一つ、HackerOne。
東内さんはヤフーの賞金獲得ランキング5位に
海外には、見つけた脆弱性の危険度や難易度などを評価したランキングサイトもある。
上位者は仲間内で尊敬されたり、一流企業から勧誘されたりするので、もっと探そうという動機付けになる。
脆弱性を探す行為に敬意を表することが、情報を悪いサイドに流さないだけでなく、若い技術者の育成にもつながるのではないか。
<脆弱性>
バグや仕様上の欠陥のために生じるセキュリティー上の弱点。
第三者にはできないはずの操作ができたり、見えないはずの情報が見えたりするため攻撃に悪用されやすい。
バグが見つかるのは珍しいことではなく、マイクロソフトは年100件前後を公表し、その都度、修正プログラムを配布して利用者に更新を求めている。
写真:脆弱性を探す東内さん(23日、都内で)
3: 名刺は切らしておりまして 2014/11/02(日) 09:14:36.94 ID:EvLB6ds5.net
おたくの使ってる環境そのままだとやばいですよって親切に指摘しただけなのに
> 犯罪者のようにあしらわれる
とかすげーな
> 犯罪者のようにあしらわれる
とかすげーな
8: 名刺は切らしておりまして 2014/11/02(日) 09:27:28.79 ID:jGI4V8Mq.net
>>3
突然見ず知らずの奴から「お宅の寝室、丸見えですよ」とか電話かかってきたら犯罪者扱いだろ。
突然見ず知らずの奴から「お宅の寝室、丸見えですよ」とか電話かかってきたら犯罪者扱いだろ。
12: 名刺は切らしておりまして 2014/11/02(日) 09:35:47.65 ID:5nBuUXcb.net
>>8
いや、それで犯罪者扱いなのが全くりかいできないが?
見えないのに無理に見たら犯罪だろうが、
丸見えになっちゃうポイントがあることを指摘して直したほうが良いと教えてくれているんだろ。
いや、それで犯罪者扱いなのが全くりかいできないが?
見えないのに無理に見たら犯罪だろうが、
丸見えになっちゃうポイントがあることを指摘して直したほうが良いと教えてくれているんだろ。
17: 名刺は切らしておりまして 2014/11/02(日) 09:44:20.62 ID:jGI4V8Mq.net
>>12
普通の人はこんなところから見れないだろうというところから見てるわけで、
見えないのを無理に見てるのに等しいからな。
ラジコンヘリで覗いてて「丸見えですよ」って言ってるようなもの。
普通の人はこんなところから見れないだろうというところから見てるわけで、
見えないのを無理に見てるのに等しいからな。
ラジコンヘリで覗いてて「丸見えですよ」って言ってるようなもの。
6: 名刺は切らしておりまして 2014/11/02(日) 09:24:19.48 ID:2Wdd/Wx+.net
俺もアカウント系サイトの開発請け負ってるが
報告してくれたら個人的に1万くらいなら出すわ
報告してくれたら個人的に1万くらいなら出すわ
7: 名刺は切らしておりまして 2014/11/02(日) 09:25:40.48 ID:jh//UJmZ.net
×IT土方
○IT奴隷
小銭でデバッグしてもらおうとか片腹痛いわ
○IT奴隷
小銭でデバッグしてもらおうとか片腹痛いわ
16: 名刺は切らしておりまして 2014/11/02(日) 09:41:32.41 ID:mDPtDvwA.net
「穴を発見!」
「仕様です」
「仕様です」
19: 名刺は切らしておりまして 2014/11/02(日) 09:49:12.33 ID:WGvle2S1.net
余計なことするなよ
少なくともタダ働きして報告とかやめろよ
それに日本じゃ報告したほうが訴えられて負けるまであるからな
少なくともタダ働きして報告とかやめろよ
それに日本じゃ報告したほうが訴えられて負けるまであるからな
22: 名刺は切らしておりまして 2014/11/02(日) 10:16:02.28 ID:hCNs6blX.net
>>これまで技術者や学生から200件以上の報告があり、
約100件を脆弱性と認定、約810万円の支払いを決めた。
見つけたところではした金じゃないか
割りにあわない
約100件を脆弱性と認定、約810万円の支払いを決めた。
見つけたところではした金じゃないか
割りにあわない
38: 名刺は切らしておりまして 2014/11/02(日) 11:01:04.42 ID:XDwhuyIt.net
>>22
たぶん、同じ手法で複数のシステムから発見できるんじゃないかね。
食っていけるかはどうかわからんが。
のぞき見対策だと、部屋の中から見える危険ポイントを探すのがデバッグで
外から見えそうな場所を探すのがこれ、という感じか。
たぶん、同じ手法で複数のシステムから発見できるんじゃないかね。
食っていけるかはどうかわからんが。
のぞき見対策だと、部屋の中から見える危険ポイントを探すのがデバッグで
外から見えそうな場所を探すのがこれ、という感じか。
28: 名刺は切らしておりまして 2014/11/02(日) 10:32:19.78 ID:Z/ET0nP2.net
報奨金支払うのはまだ良心的な会社だよ
33: 名刺は切らしておりまして 2014/11/02(日) 10:40:22.00 ID:P87PiqjK.net
技術屋集団と違って、面倒な運用は外部に委託・内部の社内SEは既存社員の持ち回りでヘルプデスクと社内システムの上流担当、
って企業の代表電話に「オタクのWEBサイトに脆弱性があってさぁ~」なんて連絡してみろよ
パニックになるのはトーゼンだ
「オタクの玄関、簡単に爆弾や盗聴器を仕掛けられそうですね…ちょっと適法内で試したら余裕でしたよフフフ…注意してください…」←こんなん一般社員では相手できないw
って企業の代表電話に「オタクのWEBサイトに脆弱性があってさぁ~」なんて連絡してみろよ
パニックになるのはトーゼンだ
「オタクの玄関、簡単に爆弾や盗聴器を仕掛けられそうですね…ちょっと適法内で試したら余裕でしたよフフフ…注意してください…」←こんなん一般社員では相手できないw
39: 名刺は切らしておりまして 2014/11/02(日) 11:06:32.92 ID:7wlAmYPd.net
>>その危険度などに応じて最大100万円の謝礼を提供する。
100万円とかってバカにしてるわ。
その何十倍、何百倍もの損害が出る可能性のある情報を、100万円で欲しがるなよ。
100万円とかってバカにしてるわ。
その何十倍、何百倍もの損害が出る可能性のある情報を、100万円で欲しがるなよ。
44: 名刺は切らしておりまして 2014/11/02(日) 12:02:39.86 ID:+WDSvNKx.net
>約100件を脆弱性と認定、約810万円の支払いを決めた。
一桁足りないな
一桁足りないな
46: 名刺は切らしておりまして 2014/11/02(日) 12:11:03.26 ID:Cy58wyr5.net
金はかけたくないけどトラブルは解決してくれ!
47: 名刺は切らしておりまして 2014/11/02(日) 12:13:00.25 ID:g4qRJr3r.net
ちゃんと給料払ってテスター雇えよ
あとデバッグ期間が短いプロジェクト多すぎ
数ヶ月の工期の最後の一週間とかそんなのばっかり
あとデバッグ期間が短いプロジェクト多すぎ
数ヶ月の工期の最後の一週間とかそんなのばっかり
55: 名刺は切らしておりまして 2014/11/02(日) 12:48:45.66 ID:aAPUP/Ba.net
日曜プログラマーだけど、脆弱性ってどういうのなん?
SQLインジェクションみたいな初歩的なものは、大抵の言語はクラスライブラリで対応してるだろうし
SQLインジェクションみたいな初歩的なものは、大抵の言語はクラスライブラリで対応してるだろうし
59: 名刺は切らしておりまして 2014/11/02(日) 12:56:04.62 ID:g4qRJr3r.net
>>55
XSS(クロスサイト・スクリプティング)とか
ある程度は防げるけど、意外と抜けている面が多い
XSS(クロスサイト・スクリプティング)とか
ある程度は防げるけど、意外と抜けている面が多い
62: 名刺は切らしておりまして 2014/11/02(日) 13:11:06.51 ID:ok+SOo+s.net
企業の頭の中にプログラマ達を土人扱いすることが最大のバグですね
だれかこいつ等の頭のデバッグもしてやれよw
だれかこいつ等の頭のデバッグもしてやれよw
63: 名刺は切らしておりまして 2014/11/02(日) 13:11:35.15 ID:MOJpkZKs.net
開発側は有り難いと思っても、その前で広報が勝手に判断して握りつぶすんだよ
65: 名刺は切らしておりまして 2014/11/02(日) 13:15:51.78 ID:Or9rk1FU.net
バグの無いシステムでオナシャス!
そういえば出来ると信じている日本の高学歴や会社幹部様
そういえば出来ると信じている日本の高学歴や会社幹部様
67: 名刺は切らしておりまして 2014/11/02(日) 13:19:08.86 ID:s7jz/o2F.net
外注/契約ですら無いテスティング要員としか思えないんだが
71: 名刺は切らしておりまして 2014/11/02(日) 13:28:04.43 ID:9vJCwlnp.net
一番辛い作業なのに
はした金とかw
はした金とかw
74: 名刺は切らしておりまして 2014/11/02(日) 14:29:03.33 ID:PHOlXgZC.net
確かに無知な人はプログラムの性質しらないから欠陥品にみえちゃうんだろうな
バグがゼロなんて不可能です
バグがゼロなんて不可能です
81: 名刺は切らしておりまして 2014/11/02(日) 15:48:21.15 ID:9dAIYHe2.net
>>74
そうだよ。
人間だって不調を訴えてなけりゃ健康だし。
そうだよ。
人間だって不調を訴えてなけりゃ健康だし。
86: 名刺は切らしておりまして 2014/11/02(日) 16:04:40.51 ID:KGCuZ3a4.net
日本の場合は趣味人が参入すると本職の単価がドンドン引き下げられます
デジタルイラスト業界で起こった事から何も学んでねぇ
デジタルイラスト業界で起こった事から何も学んでねぇ
87: 名刺は切らしておりまして 2014/11/02(日) 16:08:36.13 ID:mOgnWLwN.net
バグ鳥専門の会社って無いの?
98: 名刺は切らしておりまして 2014/11/02(日) 20:27:53.05 ID:/THQumCd.net
>>87
あるよ、でも基本的にテスターだから
逆コンパイルやってソースコードレビュー出来る人はいない
しかも、需要が増えてるゲームくらいしかバグ取りやってくれないけど
あるよ、でも基本的にテスターだから
逆コンパイルやってソースコードレビュー出来る人はいない
しかも、需要が増えてるゲームくらいしかバグ取りやってくれないけど
90: 名刺は切らしておりまして 2014/11/02(日) 16:26:54.36 ID:rIcMo7b3.net
現場ではプログラマは昼間は稼働立ち合いでそこで出たバグは
原因も工数もわからないのに翌日の朝の稼働までに修正しろと言われる。
プログラマが昼も夜も眠れないというのは現実の話。
原因も工数もわからないのに翌日の朝の稼働までに修正しろと言われる。
プログラマが昼も夜も眠れないというのは現実の話。
92: 名刺は切らしておりまして 2014/11/02(日) 17:10:34.40 ID:Or9rk1FU.net
>>90
派遣なら無理だろそれ
時間だから帰りますねwで済むし
正社員ならとりあえず一晩頑張って無理でしたサーセンが通用する
駄目なら進退伺いでも出せば良い
出来ない物は出来ないんだし
派遣なら無理だろそれ
時間だから帰りますねwで済むし
正社員ならとりあえず一晩頑張って無理でしたサーセンが通用する
駄目なら進退伺いでも出せば良い
出来ない物は出来ないんだし
96: 名刺は切らしておりまして 2014/11/02(日) 19:13:16.66 ID:1z5+9YrG.net
>>92
それが頻発してほぼ毎日みたいになる。
そして、原因分析やら再発防止策の膨大な纏め資料を作り、水平展開確認、リグレッション試験実施。
でも、大体の場合は単なる罰ゲーム的な意味合いが大きいからどうせまたバグが出る、というか、そういう本質的に無駄な事に工数かけてるから余計に直らない。
上のレイヤが上のレイヤに報告する為だけ意味しか無い。
それが頻発してほぼ毎日みたいになる。
そして、原因分析やら再発防止策の膨大な纏め資料を作り、水平展開確認、リグレッション試験実施。
でも、大体の場合は単なる罰ゲーム的な意味合いが大きいからどうせまたバグが出る、というか、そういう本質的に無駄な事に工数かけてるから余計に直らない。
上のレイヤが上のレイヤに報告する為だけ意味しか無い。
109: 名刺は切らしておりまして 2014/11/02(日) 21:12:44.90 ID:heGqiFGv.net
俺が組んだシステムは必ずバグが出る
しかも納品後発見率100%だ
涙が出る
しかも納品後発見率100%だ
涙が出る
69: 名刺は切らしておりまして 2014/11/02(日) 13:22:38.69 ID:MN4nHinM.net
こう言うの出来る人尊敬するわ
全然見つけられん
全然見つけられん
この記事が気に入ったら
いいね!しよう
いいね!しよう
最新情報をお届けします
本日注目の話題!
コメント一覧
コメント投稿
芸能・ニュース
VIP・その他
厳選ピックアップ
見逃せない2chまとめ
今週の人気記事
Twitter
逆リンク
逆リンクは表示させてると、重いのでリンクだけ置いています。
感謝!サイト様
アンテナ
記事紹介系
ニュース系
VIP系+その他
芸能系
スペシャル感謝!
ブログパーツ
