Facebookに脆弱性を指摘して報奨金を得た技術者の調査が行き過ぎだとFacebookとトラブルに

By Mike Mozart

Facebookはサービスの脆弱性やバグを報告した人に対して、バグの深刻さや技術水準の高さに応じて報奨金を支払うプログラムを導入してサービスの向上に努めています。このプログラムを利用して、ある技術者がFacebook傘下のInstagramのバグを報告してバグ報告の功績が認められて報奨金をゲットしたものの、その後にバグを調査する過程で、正当な範囲を逸脱する行為があったとして以後の報奨金の支払いを拒否されるなどトラブルに発展しています。

EXFiLTRATED
http://www.exfiltrated.com/research-Instagram-RCE.php

Bug Bounty Ethics
https://www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929

セキュリティ対策企業Synackで働く技術者のウェスリー・ワインバーグ氏は、Facebook傘下のInstagramにリモートでコード実行される危険性がある脆弱性を発見しました。Synackでは従業員の自由時間にバグ発見プログラムに参加して報奨金を受ける事が認められていたことから、ワインバーグ氏はFacebookのバグ発見プログラムに従って脆弱性について報告したそうです。

この報告の功績が認められてワインバーグ氏はFacebookから2500ドル(約30万円)の報奨金を受けることが認められたとのこと。なお、Facebookのバグ発見プログラムで功績が認められて報奨金の支払いを受けることができるのは、報告全体のうち数％に過ぎず狭き門であると言われています。

しかし、ワインバーグ氏は脆弱性を発見した後も調査を継続し、Instagramの利用するAWSのAPI秘密鍵をゲットすることに成功。Instagramの従業員や利用者になりすましてデータを入手することさえ可能な状態になりました。

追加で発見した脆弱性についてもワインバーグ氏はFacebookに報告しましたが、Facebookからは、「今後は調査の過程であれ、プライバシー侵害やデータ破壊、私たちのサービスの妨げや品質をおとしめることのないよう良心に従って努めてくれることを期待しています」という回答を得て、結局、追加の脆弱性については報奨金支払いに該当しない情報であるとの返答を受けました。

ワインバーグ氏はFacebookのバグ報告プログラムの規定には、サービスをダウンさせる行動のみ禁止するだけでその他の行動については明記されていないため、この対応は不当だと考えています。つまり、技術者が探究心に従ってバグや脆弱性を発見するためにシステムに侵入する行為はとがめられるべきではないという主張です。

しかし、Facebookのアレックス・スターモスCSOは、公式ブログでワインバーグ氏とのトラブルについての経緯を明らかにしつつ反論しています。スターモスCSOによると、当初、ワインバーグ氏が報告したInstagramの脆弱性はRubyベースの管理者パネルをあらわにして進入するという方法で、ワインバーグ氏以外にもいくつか報告が寄せられていた既知の情報だったものの、Facebookは報告に感謝の意を示すために2500ドルの支払いを通知したとのこと。この時点ではワインバーグ氏の行動は適切な倫理感からのものとしてプログラムの想定内の行動であったと評価しています。

しかし、ワインバーグ氏はAPIキーを発見してS3バケットにアクセスし、キーを使って技術やシステムに関するデータを手元にダウンロードしており、このような行為はバグ発見プログラムで許された行動として不適当であり、「仮にバグ発見という研究・調査名目のためであっても、不当にデータを入手するような行為を認めるという悪しき先例を作ることはできません」と述べています。ちなみにワインバーグ氏はブログで、すでにInstagramサーバーから得た情報はすべて破棄したことを表明しています。

このような議論以外にも、ワインバーグ氏は、「勤め先のSynackの社長に対してスターモス氏が電話をして法的措置も辞さないと圧力をかけた」「そのような電話をかける以前にスターモス氏は自分に直接コンタクトをとることはしていない」「これは自分のことを卑しい技術者と見下しているからだ」、などと主張。これに対してはスターモスCSOは、「Synackの社長に電話したのは事実だが法的責任の追求をほのめかしたこともないし圧力をかけていない」と反論するなどやり合っています。