PS4やPS5で海賊版ゲームが遊べてしまう脆弱性を発見した研究者に200万円以上の報酬金が贈られる

Googleのセキュリティエンジニアであるアンディ・ングイェン氏は、PlayStation VitaやPlayStation Portable(PSP)のハッキングで知られる「TheFlow」や「Total_Noob」といった名義でも活躍しています。そんなングイェン氏が「theflow0」名義で、HackerOneが提供するPlayStationのバグ報酬金プログラムに参加し、PlayStation 4(PS4)とPlayStation 5(PS5)に影響のある5つの脆弱性を発見しました。

#1379975 bd-j exploit chain
https://hackerone.com/reports/1379975

Playstation confirms chain of 5 vulnerabilities on PS4/PS5 | Hacker News
https://news.ycombinator.com/item?id=31799414

ングイェン氏によれば、5つの脆弱性すべてを突いた「bd-jb」エクスプロイトによって、PS4やPS5でBlu-rayディスクに焼いた海賊版ゲームを遊べるようになってしまうとのこと。ングイェン氏はこの一連の脆弱性の重大度を10段階中の7～8.9に設定し、レポートを2021年10月25日に提出しました。

そして、このレポートが10月30日にPlayStation、すなわちソニーインタラクティブエンタテインメント(SIE)によって確認され、修正対策が行われました。この結果、バグ報酬金プログラムの報酬として、ングイェン氏は2万ドル(当時のレートで約220万円を獲得しました。

しかし、SIE側はレポートの状態を「解決済み」に更新しましたが、レポートの内容を公開しませんでした。そのため、ングイェン氏はSIE側にレポートの開示を要求し、さらにバグ報酬金プログラムを企画するHackerOneもングイェン氏と同じくレポートの開示を要求。その後、2022年6月11日にレポートは開示されました。

ソーシャルニュースサイトのHacker Newsには「Hacker Oneがやっているようなバグ報酬金プログラムは、レポートの開示が遅れたり、バグ報酬金の支払いを拒否する企業が現れたりするので、参加したいとはいえない」「海賊版が遊び放題になってしまう脆弱性5つを報告して2万ドルというのは、報酬が少ないのではないか」「バグ報酬金プログラムはお金を稼ぐために存在するのではなく、自分の楽しみや好奇心のためにハッキングをするホワイトハッカーのためのものだから、2万ドルが安すぎるとは思わない」などの意見が寄せられています。