Netgear は Bugcrowd と提携し、同社のハードウェア、モバイル アプリ、API のセキュリティ上の欠陥を発見した研究者に 150 ドルから 15,000 ドルの賞金を提供する予定です。
影響を受けたルーターにパッチを適用できなかったのは、単純なミスが原因でした。NetgearはAcew0rm氏からの問題に関するメールに気付かなかったのです。このミスにより、Acew0rm氏は脆弱性を公表し、Netgearの注目を集める一方で、攻撃者にとって影響を受けるルーターへの侵入方法も明らかにしてしまいました。このように、公表には諸刃の剣があります。多くの場合、企業は問題解決に踏み切るでしょうが、その間、消費者は脆弱な状態に置かれることになります。
当時、Netgear の広報担当者は Tom's Hardware に対して次のように語っていた。
VU 582384 と呼ばれるようになったこの脆弱性は、当社のレビュープロセスで見落とされていました。この脆弱性について初めて認識したのは、12月9日(金)にCERTからメールを受け取った時でした。以前の報告記録がなかったため、公式発表前に検証するという当社の標準的なプロセスを開始しました。最初の通知が8月に発生したことが明らかになった後、調査を行い、その通りであることを確認しました。これは当社の見落としであったことを認めます。セキュリティ報告システムは完璧ではありませんが、私たちはより良いシステムを目指しており、対応プロセスの改善方法を検討しています。
バグ報奨金プログラムの導入は、この問題への対応策の一つであることは間違いありません。自社製品が常に攻撃を受けていることを認識する企業が増えるにつれ、こうした取り組みはますます普及しています。ソフトウェア企業に限ったことではありません。Qualcommのようなメーカー、Fiat Chryslerのような自動車メーカー、さらには欧州議会など、最近バグ報奨金プログラムを導入または拡大した組織は数多くあります。
Netgear の情報技術担当副社長 Tejas Shah 氏の番組へのコメントは次のとおりです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
世界をインターネットに繋ぐ革新的なリーダーとして、NETGEARはユーザーのデータのプライバシーとセキュリティを保護することで、ユーザーの信頼を獲得し、維持しなければなりません。セキュリティに関して積極的に取り組むことは、NETGEARのアプローチの基本です。Bugcrowdを通じたマネージドバグバウンティプログラムを追加することで、当社のセキュリティプログラムに新たなレイヤーが加わります。
Netgearのシステムを趣味と利益のために探りたい研究者は、Bugcrowdのウェブサイトでその方法を知ることができます。ルーターが多くの消費者にとっていかに重要であり、Netgear製品がいかに人気があるかを考えると、このプログラムはデジタルセキュリティに大きな影響を与える可能性があります。少なくとも、人々のルーターが大規模なウェブサイト、重要なサービス、その他のインフラへの攻撃に利用されることを防ぐのに役立つでしょう。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
