ここから本文です

Mozilla、脆弱性発見者への報奨金制度を刷新

5/12(金) 8:26配信

ITmedia エンタープライズ

 米Mozilla Foundationは5月11日、脆弱性を発見した研究者に報奨金を贈呈するバウンティプログラムについて、Mozilla傘下のWebサイトを対象とする報奨制度の刷新を発表した。

【内容に応じた金額が設定された】

 Mozillaは2004年8月から、Firefoxなどのソフトウェアを対象とするバウンティプログラムを開始。2010年12月からは、Mozilla製品やサービスの提供、運営、情報共有などに使われているWebサイトの脆弱性も報奨金の対象とした。

 しかし、例えば同じSQLインジェクションの脆弱性が見つかった場合でも、「mozilla.org」や「Bugzilla」といったMozillaのサービスを支える主要サイトの場合、それ以外のサイトに比べてリスクの程度は高いとMozillaは説明する。だが、そうしたリスクの程度に応じた賞金の額について、情報提供者には分かりにくい部分もあったため、Webサイトの脆弱性について、バウンティプログラムの内容を刷新することにしたという。

 新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類。例えば「firefox.com」「mozilla.com」「bugzilla.mozilla.org」などのサイトはCriticalに分類し、「login.mozilla.com」などのサイトはCoreに分類している。

 賞金の額は、例えばリモートコード実行の脆弱性の場合、Criticalサイトでは5000ドル、Coreサイトでは2500ドル、その他のサイトでは500ドルに設定した。

 「分かりやすい表を用意することで、バウンティハンターは、賞金が受け取れると分かっている脆弱性に時間と労力を注ぐことが可能になる」とMozillaは説明している。