セキュリティ

PS4やPS5で海賊版ゲームが遊べてしまう脆弱性を発見した研究者に200万円以上の報酬金が贈られる


Googleのセキュリティエンジニアであるアンディ・ングイェン氏は、PlayStation VitaやPlayStation Portable(PSP)のハッキングで知られる「TheFlow」や「Total_Noob」といった名義でも活躍しています。そんなングイェン氏が「theflow0」名義で、HackerOneが提供するPlayStationのバグ報酬金プログラムに参加し、PlayStation 4(PS4)とPlayStation 5(PS5)に影響のある5つの脆弱性を発見しました。

#1379975 bd-j exploit chain
https://hackerone.com/reports/1379975

Playstation confirms chain of 5 vulnerabilities on PS4/PS5 | Hacker News
https://news.ycombinator.com/item?id=31799414

ングイェン氏によれば、5つの脆弱性すべてを突いた「bd-jb」エクスプロイトによって、PS4やPS5でBlu-rayディスクに焼いた海賊版ゲームを遊べるようになってしまうとのこと。ングイェン氏はこの一連の脆弱性の重大度を10段階中の7~8.9に設定し、レポートを2021年10月25日に提出しました。


そして、このレポートが10月30日にPlayStation、すなわちソニーインタラクティブエンタテインメント(SIE)によって確認され、修正対策が行われました。この結果、バグ報酬金プログラムの報酬として、ングイェン氏は2万ドル(当時のレートで約220万円を獲得しました。

しかし、SIE側はレポートの状態を「解決済み」に更新しましたが、レポートの内容を公開しませんでした。そのため、ングイェン氏はSIE側にレポートの開示を要求し、さらにバグ報酬金プログラムを企画するHackerOneもングイェン氏と同じくレポートの開示を要求。その後、2022年6月11日にレポートは開示されました。

ソーシャルニュースサイトのHacker Newsには「Hacker Oneがやっているようなバグ報酬金プログラムは、レポートの開示が遅れたり、バグ報酬金の支払いを拒否する企業が現れたりするので、参加したいとはいえない」「海賊版が遊び放題になってしまう脆弱性5つを報告して2万ドルというのは、報酬が少ないのではないか」「バグ報酬金プログラムはお金を稼ぐために存在するのではなく、自分の楽しみや好奇心のためにハッキングをするホワイトハッカーのためのものだから、2万ドルが安すぎるとは思わない」などの意見が寄せられています。

この記事のタイトルとURLをコピーする

・関連記事
脚光は浴びないが重要なオープンソースソフトウェアを維持する開発者に報酬を分配する「OpenFare」とは? - GIGAZINE

Appleが「iOS 15.0.1」でロック画面をバイパスできてしまう脆弱性を修正、しかしバグ報奨金を支払っていないとの指摘 - GIGAZINE

Facebookのバグ報奨金プログラムが10周年、現在地点とこれからをセキュリティ責任者が語る - GIGAZINE

有志のゲーム攻略サイト編集者はなぜ無報酬でモチベーションを保つことができるのか? - GIGAZINE

in ゲーム,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.