Over 50,000 Vulnerabilities Discovered in DoD Systems Through Bug Bounty Program
2024/03/18 InfoSecurity — 米国防総省 (DoD) の VDP (Vulnerability Disclosure Program) を通じて、5万件を超える脆弱性が提出された。2024年3月15日に DoD の DC3 (Cyber Crime Center) が報告したのは、2016年11月にクラウド・ソーシングによる倫理的ハッキング・スキームを導入した以降において、5万件に達する脆弱性を処理したというものだ。
DC3 の VDP は、他のバグ報奨金活動とは一線を画すものであり、米軍の IT システム内に存在する脆弱性を発見した倫理的ハッカーたちが、国防総省に報告するという継続的なスキームとなっている。
この 2016年11月に立ち上げられた VDP は、HackerOne が実施した Hack the Pentagon バグ報奨金プログラムに続くものである。
2018年に DC3 が導入したものは、 VDP 内における “Vulnerability Report Management Network” という、新しい報告システムである。それにより、DC3 は全ての報告を自動化/追跡/処理できるようになり、より効率的なプロセスが実現された。
DC3 は公式声明で、「この VDP プログラムの進歩により、国防総省の Web サイトやアプリケーション上で発見された問題を処理できるようになった。それに加えて、統合軍司令部 DoD 情報ネットワークが所有/運営する、一般にアクセス可能な全ての情報技術資産を取り込むように、その緩和範囲を拡大できた」と説明している。
2021年に DC3 と国防防諜安全保障局が取り組んだのは、国防産業基盤 (DIBCOs) に参加する中小組織の、システム内に存在するバグの排除に特化した、12ヶ月間のパイロット・プログラムの作成に関する提携である。
DC3 は、「この取り組みにより、1019件の脆弱性報告を処理できた。具体的に言うと、DIBCOs 参加者の一般向け資産に存在する 400件以上の脆弱性と、管理下における未分類の情報流出の脅威を発見/修正することで、推定で $61m の税金を節約できた」と述べている。
このパイロット・プログラムにより DC3 は、DoD Chief Information Officer Annual Award を受賞したという。
その一方で国防総省は、空軍/海兵隊/陸軍/国防のシステム資産を対象とした、単独のバグ報奨金プログラムとしての Hack the Pentagon コンペティションなどを、HackerOne/Bugcrowd/Synack などと共同で 継続して実施している。
この Hack the Pentagon に関しては、2023/01/16 に「米国防総省のバグバウンティ Hack the Pentagon:4年に一度の大会が開催」という記事をポストしています。そちらを見ると、誰もが参加できるというわけではなさそうですが、オープンな雰囲気は醸し出されていますね。よろしければ、カテゴリ Defence も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.