PR

バイドゥは3月、サイバーセキュリティ会社のスプラウトが運営する日本初のバグ報奨金プラットフォーム「BugBounty.jp（バグバウンティ・ジェーピー）」を使い、日本語入力アプリ「Simeji」のバグ報奨金プログラムを実施した。

5月中旬にその中間報告を発表しており、「重大な脆弱性はない」と報告している。さて、このバグ報奨金プログラムとは何か、なぜSimejiで行うことにしたのか、どのようなバグが報告されたのかなどを、バイドゥとスプラウトの担当者に聞いた。

なぜ「Simeji」でバグ報奨金プログラム？

――（聞き手、ITmedia Mobile） 今回行った、「Simeji」のバグ報奨金プログラムとは何なのでしょうか。

スプラウト 技術分析チーム BugBounty.jp担当 小西明紀氏 バグ報奨金プログラムとは、世界中のハッカーにセキュリティ上の問題となる欠陥、脆弱性を見つけてもらい、その報酬としてお金を支払う制度です。

スプラウト 技術分析チーム BugBounty.jp担当の小西明紀氏

企業がプログラムのバグを探す場合、外部のセキュリティ会社の専門家に診断を依頼するのが一般的ですが、2000年代初頭から大手IT企業がバグ報奨金プログラムを採用し始め、徐々にメジャーになってきました。

ただ、人材や予算を確保しにくい企業にとって、バグ報奨金プログラムの導入はハードルが高い。それをサポートするため、スプラウトはバグ報奨金プラットフォーム「BugBounty.jp」を立ち上げました。バイドゥさんとは正式サービス開始後の第1弾として、今回の「Simeji」を対象に3カ月間プログラムを運営させていただきました。

―― なぜ「Simeji」でこのプログラムを利用する必要があったのでしょうか。

バイドゥ 法務部 高橋治氏 Simejiのセキュリティ面での信頼性を高めるのが目的です。もちろん全てのアプリ、サービスは社内の品質保証プロセスを経ていますが、外部の調査なら、予想もしないようなバグや脆弱性を発見できるのでは？ という期待もありました。

バイドゥ 法務部 高橋治氏

バイドゥ モバイルプロダクト事業部マネージャー 矢野りん氏 開発時の品質基準が満たされているかどうか、第三者に確認してもらいたかった、という面もあります。

バグ報奨金プログラムでは「ホワイトハッカー」と呼ばれる極めて高度な知識と技術を持つ方々がプログラムに目を光らせます。なろうと思えば“ホワイト”から“ブラック”にもなって、プログラムの欠点や脆弱性を見つけ、相手を攻撃できる。そういう存在が、開発者にはない視点で調べてくれる事に期待しました。

バイドゥ モバイルプロダクト事業部マネージャー 矢野りん氏

―― 今回のプログラムでは、「スマホの乗っ取りが可能かどうか」「パーミッション（許可）を取得しているもの以外の情報取得が可能か」「『Moplus SDK』が使用されているか」という3つの項目をチェックしています。これがSimejiに対して持たれている懸念なのでしょうか。

高橋氏 SNSなどに投稿されている代表的な懸念や不安に向き合いたいと思いました。「乗っ取られる」という表現は技術的な概念として正確性を欠いていますが、ユーザーの漠然とした不安を解消できなければ意味がありませんので、あえてそのままの日常的な言葉で依頼をしました。

小西氏 「Simejiが悪さをするのではないか？」という懸念をなくしたい、という思いが強く出ていると感じました。そういえば先日もネット上で話題になっていましたが……。

―― Baidu IMEとSimejiに関する「はてな」のブログ記事を削除するよう申立てた件ですね。すぐ取り下げたそうですが。

高橋氏 はい。この度は本当に申し訳ありませんでした。掲載内容の確認が不十分でご迷惑をおかけし、この場であらためておわび申し上げます。

経緯を説明しますと、弊社では製品に対する不満や不安、苦情などをチェックし、日頃の品質改善に役立てるため、定期的にネット上にある記事の調査をしています。一方弊社は中国企業ということもあって、2ちゃんねるやTwitterなどのネット世論のなかでことのほかネタにされる存在のようです。からかったり、ちゃかしたりしていただく分にはとてもうれしいのですが、「中国共産党の犬」「支那謹製バックドア」「猛毒を拡散」など、なかなか刺激的な言葉を頂戴することもございます。そのなかでも、それを読んだほかの人に大きな誤解を与えると思える一部の記事には、プロバイダ責任制限法に従って送信防止措置をお願いする書面を送ることがあります。

名誉毀損記事を掲載し、放置している状態が続くと、プロバイダー（今回のケースでは「はてな」）も一定の責任を負う可能性が出てきてしまいます。ただ、プロバイダ責任制限法によると、そのケースでも一定の場合にプロバイダーを免責するという規定があり、文字通り、プロバイダーの責任を制限するものとして、この法律があるわけです。

具体的には、被害を受けている側が書面で名誉毀損と考える内容を説明し、それを受けたプロバイダーが投稿者の方に問い合わせをします。削除依頼に応じないと回答する投稿者の方もいらっしゃれば、記事を修正する方もいらっしゃいますが、いずれにせよ多くのプロバイダーは投稿者ご自身の方針を重視されているようです。

―― 削除依頼があったとしても、投稿者自身が「いや、これは名誉毀損にあたらない」「正当な批判である」と反論したら、削除されない場合もあるということですね。

高橋氏 そういうことです。ともあれ今回は、確認不足のまま削除依頼をプロバイダーさんに送ってしまい、ブロガーの方からすると名誉毀損にならないよう注意深く記事を書いたはずなのにプロバイダー側から問い合わせを受けるという事態になってしまいました。

再確認したところ、内容は確かに報道内容を時系列に沿って丁寧にまとめたもので、大変な労力がかかっており、一連の不祥事に関するアーカイブ的な価値が高い貴重な記事であると思いました。その点に気が付かなかったのは、本当に申し訳ありません。また、法律にのっとって対応しただけのプロバイダーさんにもご迷惑をおかけしました。

ちなみに、削除依頼を含めた一連の対応は全て日本でやっています。日本のユーザーの皆さまに愛していただいていることを日々実感しているのは日本のメンバーですので。本社の指示でしているわけではありません。今回もすぐ撤回できたのはそのためです。われわれとしては日本のユーザーの皆さまに信頼していただくため試行錯誤しながらいろいろな取り組みを行っているところですので、多様なご意見をお寄せいただけることは非常にうれしく思っています。その一環として、バグ報奨金プログラムも日本で企画しました。

―― なるほど。バグ報奨金プログラムの件に戻りますが、開発者も気が付かないバグではなく、意図的に仕込まれたバックドアなどへの不安もあります。BugBounty.jpではそうしたものも見つけられるのですか？

小西氏 結論から言うと、発見される可能性は高いと考えます。開発側が意図的にバックドアを仕込むケースは少し現実的ではないですが、そういうものも含め、利用者が意図しないセキュリティ上の問題が含まれていれば、たとえそれが仕様であっても脆弱性と見なされて報告されるでしょう。

脆弱性は定義が曖昧なところがあります。例えば、自分の居場所が相手に分かるアプリがありますが、位置情報が共有されることが明示されており、利用者が同意した上で使用した場合は問題ありませんが、位置情報が共有される旨が明示されていないのに位置情報が共有された場合や位置情報を共有しない設定にしていたにもかかわらず位置情報が共有された場合などは、脆弱性と呼べると思います。

高橋氏 第三者の調査ですから、依頼の意図としては両方を含んでいます。自ら「バックドアはありません」といってもまったく説得力がないので、バグ報奨金プログラムではそれをハッカーの目で探してもらいたかったのです。

―― スプラウト側も、依頼内容を拡大解釈してチェックした。ユーザーが誤解するような動き、挙動がないこともチェックしたということですか？

小西氏 そうです。参加したホワイトハッカーもそういう意図を持って調査してくれたと思っています。

―― 中間報告では、依頼内容に合致する脆弱性の報告は0件ですが、最終報告はどうなるでしょうか。

高橋氏 最終的にも、当初依頼した3点については0件でした。それ以外に「でも、こういう問題点はありますよ」という指摘はいただいたので、それに関して開発側にフィードバックしました。

――それが、「その他の脆弱性」である15件ですね。

高橋氏 そうです。15件の報告があり、そのうち9件を報奨金の対象にしました。対処の必要性の度合いはいろいろですが、きちんと開発にフィードバックしたいと思ったのが9件です。

―― ちなみに、どういった指摘だったのでしょうか。

高橋氏 細かくは申せませんが、例えばユーザー認証で「ブルートフォースアタック」が可能だった点が分かり、これは対策済みです。

―― 当初の目的である3項目で0件、その他の項目が15件という数字は、多いのでしょうか少ないのでしょうか。

小西氏 プログラムの開始直後は報告が多く、そのときは結構来るなと思いましたが、終わってみると15件で個人的には少なかったという印象です。

どんなプログラムでもバグは基本的に0になり得ませんが、3カ月間見てもらって、これだけの報告でしたから、Simejiが抱えていた懸念はある程度、解消できたという印象です。

若い力には「Simeji」の揚げ足を取ってほしい！

―― 依頼した脆弱性は0件という最終報告がありましたが、Simejiに対する懸念はどこまで払拭できそうですか。技術的な取り組みですから、興味を持てないユーザーも多いかと思います。

高橋氏 技術的な部分までユーザーに興味を持っていただくことは正直難しいと思いますが、こういう取り組みをしていること自体が、信用の担保になるのかなと思っています。報告内容は技術的に高度な内容ですし、公開できない部分もあるので、まずは取り組み自体を知っていただければと思います。

矢野氏 今回のようなプログラムがあることで、学生がお小遣い目当てでハッカー登録して、いろんな意見を言ってくれると面白いと思います。B-CASカードを改造して捕まった高校生がいましたけど、あんなコトができる子は世の中にもっといると思います。

その知識を正しく使って欲しいのですが、何かを理解する時はいたずらが最初じゃないですか。だったら「あのSimejiの揚げ足とってやるぞ」くらいの感覚で、どんどん若い人に暴れてほしいです。

―― Appleのスティーブ・ジョブズとスティーブ・ウォズニアックは若い頃、ただで電話をかけられる機械を作って売りさばいていたそうですね。

矢野氏 今ならアウトじゃないですか。もし、同じようなことをしたい学生がいたら、バグ報奨金プログラムにチャレンジして欲しいです。

小西氏 こういったお話をする担当者はめったにいないですね……。「バグや脆弱性を見つけます」というと、何をされるか分からないという気持ちが先行して、大抵の企業は導入をちゅうちょしますから。

プログラムに参加するホワイトハッカーはそのハンドルネームからある程度、実績やスキルが推測できる方もいますが、基本的にはどこの誰かも分からない。海外から参加という方も多いです。そうした全世界の目に製品の内側をさらすのは、企業としてきちんとセキュリティに取り組んでいる姿勢を示す機会にもなると思います。

―― Simejiのプログラムは現在、クローズしていますが、今後もアップデートする度にやっていく予定ですか？

高橋氏 はい、そのつもりです。第1回は報奨金の予算として150万円を用意しました。先ほどの15件のうち、対価が認められる9件に合計38万5000円をお支払いしています。継続する意欲は十分持っています。