ValveはSteamや自社のゲームやサーバー、SteamOSなどの関連サービスの脆弱性を発見したハッカーに対し報奨金を支払うプログラムを開始したようだ。Hackeroneにより判明している。報奨金は脆弱性のレベルに応じて、最低は脆弱性“低”の0~200ドルから、最大は脆弱性“クリティカル”の1500ドル以上(上限金額設定なし)となっている。
Valveとハッカーをめぐっては、2年前に16歳の少年がSteamの認証を回避してゲームを販売できてしまう脆弱性を発見するという事例があった。この時Valveは脆弱性を報告してきた少年をまともにとりあわなかったことにより、Steamで「壁に塗られたペンキが乾くのをただ見続けるだけ」という皮肉なゲームが公開される結末に至った(関連記事)。あれから2年あまり。今回はValveが本格的に脆弱性に取り組む姿勢を見せたかたちだ。
Valveは今回の報奨金プログラムについて「セキュリティの透明性を保つとともに、必要に応じて発見された脆弱性の詳細をを広く公開し、Valveの承諾があれば(ブログへの投稿など)外部で公に議論されることを許可する」としている。ただし一方で「迅速な問題解決のため、潜在的なセキュリティ上の問題が発見された場合には可能な限り早く知らせてほしい」「一般、または第三者に開示するまえに、問題解決のための合理的な時間をあたえて欲しい」とも呼びかけている。くわえて参加者には、プライバシーの侵害やデータの破壊、サービスの中断または低下を招かないよう注意喚起している。
Valveは、今回のプログラムで脆弱性から除外されるものとして、以下のものを挙げている。
・サービス拒否攻撃
・スパミング
・Valveスタッフや請負業者への(フィッシングを含む)ソーシャル・エンジニアリング(※)
・Valveの土地や資産、データセンターへの物理的な強行手段
(※)ソーシャル・エンジニアリング:コンピューターではなく、人間につけ込んで個人が持つ秘密情報を入手する方法のこと。例として「詐欺的な方法で関係者からパスワードを聞き出す」「誰かが暗証番号を入力するところを盗み見て記憶する」といったものが挙げられる。
Valveに禁止されるまでもなく、社屋などへの物理的な強行手段はハッキングというより、テロ行為に等しい。Valveといえば、昨年巨大タワービルの新オフィスに移転したばかり。Valveが9フロアを借りているワシントン州ベルビューのLincoln Square Southには、他にもゲーム関連ではUnity TechnologiesやEpic Games、株式会社ポケモン、最上階にはあのスティーブ・バルマー氏のBallmer Groupなどが居を構えており、そんなビルに物理攻撃を仕掛けること自体、人生がいくつあっても足りないと思われるので、絶対にやめたほうがいいだろう。
他にバグに該当しないものとして、実質的な影響のない仮説や、ユーザーのデバイスに物理的にアクセスする必要がある攻撃、大きな影響をあたえることのない単なるユーザ列挙攻撃などが挙げられている。また、ゲームのバグや不具合も脆弱性には含まれないため、サポートサイトに修正を依頼するようにとのことである。
本プログラムにおける脆弱性の報告は、hackeroneのガイドラインに沿ったかたちで提出することが義務づけられている。記事執筆時点で、すでに報奨金総額は109600ドル、日本円で約1200万円に達している。平均報奨金額は350ドルから500ドル。最高額はBohdan Korzhynskyi (ragnar)氏の2000ドルとなっている。ragnar氏はValveだけで15件の脆弱性を報告し、ひとりで 1万1600ドルを稼ぎ出している。ragnar氏のほかにも39人のハッカーたちが報奨金を受け取り、180件の報告が解決済みである。
“世界最大のハッカーコミュニティ”を謳った hackeroneの ページでは「狩りのスリルを楽しみながら、発見を知らせて報奨金をゲット!」というやけに陽気な謳い文句とともに、ブラック・バイトの求人募集を彷彿とさせる、充実感にあふれた写真を見ることができる。だが今回のプログラムはブラック企業というより、むしろ真逆のホワイトハッカーだ。読者の皆さんのなかで腕に覚えのある方は、是非「狩りのスリルを楽しみながらValveをハッキングし、ゲイブ・ニューウェルから2000ドルをゲット!」してみてはいかがだろうか。
