PlayStation.Blogで、ソニーがセキュリティプラットフォームHackerOneと提携し、PS4の脆弱性を発見して報告すると、それが重大な脆弱性だった場合5万ドル(日本円で535万円相当)の報奨金を支払うPlayStation Bug Bounty Program(バグ報告報奨金プログラム)を開始したことを発表していました。
HackerOneは脆弱性を発見して報告すると報奨金を支払うプログラムを実施しており、過去には任天堂とも提携し3DSやSwitchでも報奨金プログラムを実施しています。
今まではソニー独自のバグ報告プログラムを一部の調査員と共に行っていたようですが、コミュニティが果たす役割の重要性を鑑み、広く募集をかけた方が効果が得られるとの判断から今回HackerOneと協力して脆弱性対策に乗り出しました。
PlayStationセキュリティの向上は「世界中のゲーマーに素晴らしいゲーム体験を提供するために重要」とのことですが、PS4シーンのコミュニティとしては「カネになるから」という理由でexploitを見つけてソニーに先に情報を提供する流れができてしまう可能性があります。
実際Nintendo SwitchのNVIDIA Tegraの脆弱性であるFusée Geléeもリリース前にNVIDIAや任天堂に報告されていたことが分かっています。報奨金プログラムを利用していたかどうかは分かりませんが、exploitがカネになるのであればそれを目的とするハッカーも必ず存在します。極論すると、exploitの公表の対価としてカネか名誉のどちらかを選ぶということになります。報奨金が高額なため、普通はカネを選ぶ、かな。
先のSwitchのFusée Geléeの場合はハードウェア側の改修が必要だったために、事前に報告されることによって対策ハードが作られはしたものの対策ハード以前に販売された個体はハックが有効でしたのでSwitchシーンとしてはその時点で大きな損失にはなりませんでしたが、そういった脆弱性(コールドブートハック)は非常に希です。通常はソフトウェアハック(ウォームブートハック)のためファームウェアアップデートで対策が可能なものが大多数です。その場合最新ファームウェアでのハックが事実上困難と言わざるを得ません。
報奨金プログラムの開始によりPS4の場合は今後古いファームウェアでしか有効でないexploitしか公開されなくなる可能性が大きくなったと言えますが、問題はそれだけに留まりません。ソニーはPS5でも報奨金プログラムを実施するのは間違いないでしょうから、それはこれから発売されるPS5にも同じことが当然当てはまります。PS5シーンになると最新ファームウェアでのハックというのは難しいということになるかもしれません。
PlayStationのバグ報告報奨金プログラムはhttps://hackerone.com/playstationで受け付けています。すでに解決済み報告が88とか書かれているのが気になります。バグ報告はPS4だけでなくPlayStation Networkも対象です。