07/08/23 20:08:38
「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデル
2007/08/23 16:00
ソフトウェアのバグはどのように公開されるべきか。最近設立されたあるセキュリティ調査会社の
ビジネスモデルをめぐって、さまざまな議論が交わされている。
2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs(VDA)は、
製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。
この点は他のセキュリティ研究者と変わらない。
次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。
さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表すると
ベンダーを脅迫する。これはすべて、VDAがビジネスモデルの一環として行っていることである。
National Security Agencyなどで働いていたDeMott氏は、自身のビジネスモデルを「先鋭的」と表現する。
しかし他のセキュリティ研究者の目にはまるで「恐喝」に見える。どちらにしてもこのビジネス手法は、
ソフトウェアベンダーやセキュリティ会社で働くバグハンターのこれまでの仕事の流儀からは大きく逸脱
している。
CNETJAPAN
URLリンク(japan.cnet.com)