評価されるexploitの「換金性」残念なexploitが増える恐れ

Hackeroneで、TheFloW氏がPS4の7.02に存在したカーネルexploitを報告した際の報奨金と同額の1万ドルを得る脆弱性の報告を新たにしていたことが明らかになりました。

Hackerone

PS4の脆弱性を発見して報告すると報奨金がもらえるPlayStation Bug Bounty Program(バグ報告報奨金プログラム)では、重大な脆弱性だった場合に報奨金額が5万ドル(日本円換算で527万円)支払われるプログラムです。

今までは脆弱性(exploit)を発見して公表しても名誉しか得られませんでしたが、PlayStation Bug Bounty Programによりexploitが対価が支払われる(カネになる)ことになったため、今後は先にexploitを報告して報酬を得ることがトレンドになる、つまりファームウェアで対策が完了したexploitしか世に出てこない恐れありました。その危惧が現実になっている事象が増えていることになります。

TheFloW氏へ新たな1万ドルの報酬を払うことにした事実がHackeroneで公表されると、早速PS4シーンがざわめきました。

TheFloW氏はPlayStationの脆弱性を報告して1万ドル(日本円換算で105万円)を先ほど手にしました。8.00ハックの可能性があります。

TheFloW氏はPlayStrtaion 4ハックの可能性がある脆弱性を報告したようです。すでに報告は完了し、報酬は1万ドルです。カーネルexploitの可能性があるものは報酬が高額になりますが、内容が公開されるのは1ヶ月以上先になります。

HackeroneのHacktivity(https://hackerone.com/playstation/hacktivity)で確認できますが、ざっと見たところ確かに今日10月20日に日付が変わった頃にTheFloW氏は1万ドルの報酬を得ていることが公表されています。

TheFloW氏が応募した分で内容が既に公開されているものに任意のカーネルの読み書きが可能になる脆弱性がありますが、これは先にお伝えしたPS4 7.02のカーネルexploitです。その報奨金は1万ドルですので、今回報告された脆弱性は7.02のカーネルexploitと同等の脆弱性ということになります。

更にHackeroneを見ていくと、PS4シーンで著名な開発者として知られるoct0xor氏の名前もあり、彼の場合はTheFloW氏の1万ドルを遙かに超える4万ドルや2万5千ドルといった複数の報酬を得ていることが分かります。

シーンでは無名の人物も多数応募しており、大金ではありませんが報奨金を得ていることも分かります。仮に数万円の報奨金でもお小遣い稼ぎには十分です。これだけの応募者がいる現実を知ると、exploitをカネにする流れはもう止まらないかも知れません。

今までより多くのexploitが見つかる可能性が増えるというメリットもありそうですが、少なくとも先にファームウェアアップデートで対策された後にexploitが公表されることになるため、最新ファームウェアでのハックというのが今後はほとんどなくなってしまうかも知れません。常に最新のファームウェアへのアップデート適用が前提の今のゲーム機にとっては事実上「使えなかった残念なexploit」ばかりが増える可能性も否定できません。