バイドゥとスプラウトは3月2日、スプラウトが運営するバグ報奨金プラットフォーム「THE ZERO/ONE – Bug Bounty(バグバウンティ)」上で募集するバグ報奨金プログラムの第一弾として、バイドゥの日本語文字入力&顔文字キーボード「Simeji」の調査報告受付を開始した。
バグ報奨金プログラムとは、ウェブサービスやアプリケーションなどにバグや脆弱性が存在しないかどうかの調査を、企業が外部のホワイトハッカーに依頼し、もし問題が見つかった場合は報告を受け取り、その対価として報奨金を支払う取り組み。海外の大手インターネット企業では、自社のセキュリティを向上させるための手段として広く認知されているが、日本国内においてはバグ報奨金プログラムを実施する企業はまだ限られている。
「THE ZERO/ONE – Bug Bounty」は、企業がバグ報奨金プログラムを実施することができ、世界中のホワイトハッカーから報告を受け取ることのできるプラットフォームとなっている。昨年12月より試験運用してきたベータ版には、現時点で国内外合わせて66人のホワイトハッカーが登録しているという。
|
「THE ZERO/ONE – Bug Bounty」の仕組み |
今回バイドゥでは、「Simeji」のiPhoneアプリとAndroidアプリの最新版を対象に、アプリを経由したスマートフォンの乗っ取り(利用者の意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能かなど)が起こり得ないか、許可された範囲を超えて利用者のプライバシー情報が収集されていないか、「Simeji」では使用していないとされているバイドゥのソフトウェア開発キット「Moplus SDK」のソースコードが存在しないかについての調査報告を募集する。
|
「Simeji」の画面イメージ |
ホワイトハッカーより調査報告された内容については、バイドゥとスプラウトが協力して検証し、バグもしくは脆弱性と認定されたものに対しては内容に応じて10~30万円の報奨金が支払われる。
報告の受付は先着順で、第一弾としての報奨金の総額は150万円が予定されている。
