米国の国土安全保障省がバグバウンティを実施:Hack DHS プログラムとは?

The DHS is inviting hackers to break into its systems, but there are rules of engagement

2021/12/16 StateOfSecurity — 米国の国土安全保障省 (DHS : Department of Homeland Security) は、悪意の攻撃から自らを守るために、脆弱性の発見やシステムへの侵入を、セキュリティ研究者に呼びかけている。DHS は、「DHS の特定システム内のサイバー・セキュリティ脆弱性を特定し、同省のサイバー・セキュリティの回復力を高めるために、バグバウンティ・プログラム Hack DHS を開始すると発表している。

Bloomberg Technology Summit において、この取り組みを発表した DHS の Alejandro Mayorkas によると、Hack DHS は3つの段階を経て実施されるとのことだ。

  1. ハッカーは、DHS における特定外部システムに対して、仮想的な監査を実施する。
  2. ハッカーは、ライブのハッキング・イベントに参加する。
  3. DHS は、学習した教訓を確認/検討し、将来のバグバウンティの計画を立てる。

    DHS の Secretary である Mayorkas は、発見された脆弱性の深刻さに応じて、1件につき $500〜$5000 が支払われると述べている。報奨金を受け取るセキュリティ研究者は、その欠陥の悪用の方式や。情報窃取の手口などの詳細を、DHS に対して開示する必要がある。

    もちろん、バグバウンティは新しいものではない。民間企業の多くは、脆弱性の責任ある開示を促すためにバグバウンティ・プログラムを運用している。近年では米軍や国防総省などが、事前に承認されたセキュリティ研究者によるバグハントへの参加と、報酬の提供を行っている。

    また、Hack DHS は、従来からの方式を踏襲するのではなく、こうした取り組みの基盤の上に、強力なガイドラインを設けて、混乱が生じないようにしているようだ。したがって、Hack DHS は、次のようなルールを課した Hack the Pentagon バグバウンティの足跡をたどるものと期待される。
  • プログラムに参加するためには、事前に登録し、承認されている必要がある。
  • 米国で就労可能であること。
  • 現在、米国の貿易制裁下にある国に居住していないこと。つまり、シリアや北朝鮮のハッカーは歓迎されない。
  • テロ行為/麻薬取引などの犯罪に関与した人物や組織として、米国財務省のリストに掲載された者は参加できない。
  • 参加者は全員、身元調査を受けることに同意する必要がある。

    さらに DHSは、バグバウンティの対象となるシステムや、関心のある脆弱性の種類の脆弱性について、厳しいパラメータを設ける予定である。セキュリティ研究者の中には、DHS のシステムに潜在する極めて深刻なセキュリティ・ホールの除去に貢献することで、名誉が得られると考える人もいるだろう。

サイバー・セキュリティの現状を考えると、Hack DHS は最も効率の良い対策なのでしょう。ただ、前例として、Hack the ArmyHack the Pentagon が、2016年の時点で行われているので、すでにノウハウは蓄積されているのでしょう。ちょっと心配なのは、Apache Loh4Sell への対策と、タイミングが被ってしまったことです。どこもかしこもてんてこ舞いのはずなので・・・

%d bloggers like this: