Facebookのバグ報奨金プログラムが10周年、現在地点とこれからをセキュリティ責任者が語る

GoogleやAppleといった大手IT企業の多くは、サービスの脆弱性を報告することで賞金がもらえるバグ報奨金プログラムを設立しています。Facebookも2011年から自社のバグ報奨金プログラム「Bug Bounty Program」を運営しており、2020年で10周年を迎えました。記念すべき10周年の節目にあたり、FacebookのセキュリティエンジニアリングマネージャーであるDan Gurfinkel氏が、プログラムの歴史と現状、そして未来について語っています。

Marking the 10th Anniversary of Our Bug Bounty Program - About Facebook
https://about.fb.com/news/2020/11/bug-bounty-program-10th-anniversary/

Facebookのバグ報奨金プログラムに参加している外部の研究者は、未発見の脆弱性を報告することで、Facebookのセキュリティとプライバシー向上に貢献しているとのこと。問題を素早く修正してFacebookのコミュニティを保護するためにバグ報奨金プログラムは役立てられており、支払われる報酬は、より質の高いセキュリティ研究を促進する動機になるとGurfinkel氏は語っています。

この10年間、5万人以上の研究者がプログラムに参加し、うち約1500人が報奨金を受け取ったとのこと。報奨金を受け取った研究者の国籍は107カ国を数えます。研究者の中にはFacebookのセキュリティチームやエンジニアリングチームに加わって、Facebookのプラットフォームを守る仕事を続けている人もいるそうで、Gurfinkel氏自身もそのひとりであるとのこと。

Facebookのバグ報奨金プログラムが2020年時点でどのような状態にあるのかは、以下のようにまとめられています。

・2011年より、Facebookのバグ報奨金プログラムには13万件もの報告があり、うち6900件が報奨金の対象となった
・2020年に報告されたおよそ1万7000件ものレポートのうち、報奨金の対象となったのは1000件以上
・2020年には、198万ドル(約2億円)以上の報奨金を50カ国以上の研究者に支払った
・1年で支払った報奨金額について、ここ3年は毎年過去最高を更新している
・2020年に報奨金を受け取った国トップ3はインド、チュニジア、アメリカ

Facebookは修正が必要な問題に関するレポートをレビューする際、ただ提出されたレポートの内容だけを見るのではなく、問題をより深く理解するためにコードの根底にある領域まで確認するとのこと。こうした積極的な調査によって、利用者のセキュリティとプライバシーをさらに保護するための改善点が発見されることもあるとGurfinkel氏は語っています。バグ報告プログラムが10周年を迎えるにあたり、Gurfinkel氏は研究者のコミュニティがFacebookの保護に貢献してきた影響を認識するとともに、重要な問題の発見と修正に役立った2件のレポートを実例として紹介しています。

レポートのひとつは2020年にFacebookのバグ報奨金プログラムに参加した研究者、もうひとつはGoogleの脆弱性研究プロジェクト「Project Zero」の研究者から報告されたもの。どちらのバグにもチームによって迅速にパッチが当てられ、問題の自動検出機能と手動のコードレビューを組み合わせたフォローアップレビューを通してさらなる保護が行われたとのこと。いずれも悪用された痕跡はないそうです。

1つ目のレポートは2020年初頭に報告されたもの。Selamet Hariyanto氏が世界中のFacebook利用者にコンテンツを配信するためのコンテンツデリバリネットワーク(CDN)について「期限切れでもアクセスできてしまうURLが存在する」というバグを発見したとのこと。報告されたバグ自体の影響は少なくすぐに修正されましたが、内部の研究者によって「非常に優れたハッカーであれば遠隔でコードを実行できる場合があった」ことが判明。Facebookのバグ報奨金プログラムでは、たとえ最初にレポートで報告された問題が影響の少ないものであっても、報告による最大限の影響をもとに報奨金額が決まるため、FacebookはHariyanto氏に80万ドル(約8300万ドル)を支払ったそうです。

2つ目のレポートは2020年秋にProject ZeroのNatalie Silvanovich氏によって報告されたメッセンジャーに関する脆弱性です。具体的には、Android向けメッセンジャーアプリで着信中は、攻撃者がメッセンジャーにログインして他のメッセンジャー利用者にメッセージを送信できるという脆弱性でした。この脆弱性により、通話相手のデバイスが着信中は、着信をキャンセルするかタイムアウトになくなるまでは、音声を傍受される危険性がありました。この攻撃を成立させるためには、攻撃者は相手とFacebook上で友達になるなどして、相手と通話できる権限を有する必要がありました。また、リバースエンジニアリングツールを使用して攻撃者が独自のメッセンジャーアプリを操作し、カスタムメッセージを送信する必要もあったとのこと。

報告された脆弱性をサーバー側で修正後、Facebookは一対一の通話に同じプロトコルを使用しているアプリも追加で脆弱性を修正。このレポートも考えうる最大限の影響を考慮し、プログラム史上3番目に高額な60万ドル(約6200万円)が支払われたとのこと。

2011年の設立当初は、Facebookのバグ報奨金プログラムはウェブページのみを対象としていましたが、2020年現在では、モバイルアプリやInstagram、WhatsApp、Oculusなども対象としています。攻撃による脅威は年々増加していく中で、Facebookは以下の3つの点に注力しているとのこと。

・新たなリスクへの対策：アプリ開発者によるFacebookデータの悪用や、Facebookデータにアクセス可能なサードパーティ製アプリや外部ウェブサイトのセキュリティバグなど、新たなリスク領域のセキュリティ調査を指示し、インセンティブを与える方法を開発していくとのこと。

・よりよい調査ツールの提供：Facebookのバグを発見して研究者がより簡単に多くの報奨金を受け取れるよう、コミュニティにツールを提供していくとのこと。最近リリースされたFacebook Bug Description Languageもそうした取り組みのひとつで、バグを再現するためのテスト環境をすばやく構築することができるとGurfinkel氏は説明。また、研究者を貢献度にあわせてランク付けし、高ランクの研究者にはボーナスやバッジ、リリース前の製品や機能への早期アクセス、バグ報奨金イベントへの限定招待などの特典を付与するFacebook独自のリワードプログラム「Hacker Plus」も2020年10月に設立しており、記事作成時点で4万ドル(約420万円)のボーナスを支払っているそうです。

・研究者のネットワーク構築：ハッキングイベントやFacebookのバグ報告プログラムに参加する研究者の会議であるBountyConを通して、研究者のネットワークを構築していくとのこと。

「過去10年間、貴重な研究によってFacebookに貢献してくださったバグ報奨金コミュニティの皆様、2020年のプログラムの成長に貢献してくださった皆様に感謝します。私たちのコラボレーションをさらに効果的なものにするためのフィードバックについては、いつも感謝しています。私たちは、プラットフォームの安全性を維持するために、今後も協力していくことを楽しみにしています」とGurfinkel氏はコメントしています。