先日、Android向けのFacebookアプリのメッセンジャー内で、攻撃者がビデオや音声電話をかけることで、応答までの間の音声にアクセスできるバグが発見され、修正されたと、FacebookとGoogle Project Zeroが発表した。

(参考:『あつまれ どうぶつの森』で「海に入れたり、段差の三段目に登れる」バグが見つかる

 これはFacebookの今までの脆弱性の中でもトップ入りする大きな問題とされた。「SdpUpdate」という特殊なメッセージファイルをユーザーに送った後、電話をかけることで応答前に相手のマイクにアクセスし、周りの音を盗み聞きできるという欠陥だ。

 通常の設定だと、相手が応答するまで音声データを発信することはない。今回のバグが機能するには、すでに電話をかける側が相手に電話をかけられるポジションにある必要があった(すでに友達である場合や設定でオープンにメッセージを受け付けている場合など)。また、攻撃側から特殊メッセージを強制的に送信できるようメッセンジャーをリバース・エンジニアリングする必要がある。しかし、このようにステップがシンプルであり簡単にユーザーのプライベートにアクセスできる欠陥であることから重大なバグとして対処された。

Project Zeroとは

 今回のバグを発見したNatalie Silvanovichは、2014 年に設立されたProject Zeroの一員だ。Project ZeroはGoogle内のセキュリティリサーチャーたちのプロジェクトであらゆるテックのハードウェアからソフトウェア内にある脆弱性を発見し、ユーザーの安全とセキュリティを守るために活動している。これらの脆弱性は利益目的のハッカーたちだけではなく政府や公的機関の諜報活動のターゲットとしても狙われることが多い。

 このプロジェクトは過去にもApple iOS、OSXSafari内の6つのバグの発見やマイクロソフト、GoogleのChromeなどあらゆるテック大企業たちの脆弱性発見に貢献している。プロジェクトのポリシーは発見から90日以内にバグ修正の改善を該当企業に求め、実行後にバグの詳細をProject Zeroのブログに公開するというものだ。

 これは企業の説明責任を尊重と信頼を示しおり、実際、今日までに発見されたバグのうち97.4%がこの90日以内のタイムライン内にバグ修正を行なっている。今回のメッセンジャーのバグはサーバー側のバグ修正と追加セキュリティをFacebookの保有するすべてのアプリに適用することで解決した。これらもすべて発見から90日以内に修正されている。

バグバウンティプログラムとハッカーたち

 またFacebookは先日、バグバウンティプログラムの10周年を発表した。今回のメッセンジャーにおけるバグの発見はFacebookの過去バウンティ(賞金)の中でトップに入る60,000ドルが支払われた。発見者のNatalie SilvanovichをNPOに寄付したとツイートしている。バグバウンティプログラムとは脆弱性報奨金制度と呼ばれ、製品の脆弱性を外部に(主にホワイトハッカー)見つけてもらい報酬を支払うというプログラムだ。

 これはあらゆるテック企業では現在当たり前となっておりテック企業たちはそれぞれ独自のプログラムを発表している。Facebookは過去10年で107ヶ国から1500人もの発見者たちに報酬を支払ったと発表している。これらのバウンティプログラムをリストアップしまとめる企業、hackeroneのウェブサイトを見るとUberStarbucksSpotify, Twitterなどあらゆる有名企業がリストアップされている。

メリット・デメリット

 バウンティプログラムはホワイトハッカーたちの収入や技術開発・向上だけではなく企業側にも多くのメリットがある。例えば、開発者側からだけでは見落としがちなバグや複雑化する外部のシステムとの関係性からしか見えない視点を利用することができ、また、社内にホワイトハッカーたちのチームを設備するよりも外部にアウトソースしたほうがコストを抑えることができる。これらはすべてセキュリティや製本の品質向上に欠かせない部分であり、日本でもバウンティプログラムを取り入れる企業が増えている。

例)
・LINE Security Bug Bounty Program
https://bugbounty.linecorp.com/ja/
・PlayStation

「PlayStation®バグバウンティ」プログラムのお知らせ

 これらのプログラムやバグを悪用し高額の報酬を脅迫するハッカーなどが現れることもあり、決していつも成功する方法ではない。しかし、このように企業外部のハッカーや開発者たちが関わっていくことで自分たちのネット環境を向上していけることは、私たちがテック企業のユーザーになるだけではなく、こちら側からも相互的な関係を築けるというエンパワーメント的な関係性の構築につながっていくのではないだろうか。

参照

Facebook Messenger Bug Allows Spying on Android Users


https://www.hackerone.com/
https://www.bleepingcomputer.com/news/security/facebook-messenger-bug-allowed-android-users-to-spy-on-each-other/
https://googleprojectzero.blogspot.com/
https://www.wired.com/2014/07/google-project-zero/
https://www.zdnet.com/article/facebook-messenger-bug-could-have-allowed-hackers-to-spy-on-users/
https://bugbounty.linecorp.com/ja/

「PlayStation®バグバウンティ」プログラムのお知らせ


(mugiho)