システムの脆弱性報告に対して報奨金プログラムを実施しているHackeroneのPlayStation部門で、PlayStationシーンでは無名のaapo氏が過去最高額の5万ドルの報奨金の脆弱性を報告していました。
5万ドルは日本円で今の為替相場だと724万円です。5万ドルはHackerOneの報奨金クラスでは最高位のCritical(致命的な脆弱性)に分類される金額(上限額)です。
PlayStationシーンではカーネルexploitをいくつも発見しているTheFloW氏も8日前に1万2500万ドル(日本円で181万円)の報奨金を獲得していました。これは最新ファームウェアにも対応する PS5とPS4のカーネルexploitだと予想(内容は非公開)されていますが、aapo氏の報奨金はその4倍です。
過去にTheFloW氏が発見した脆弱性はPS5のハックに繫がってきています。報奨金1万ドルがおおよそ実用的なハックに繫がる脆弱性の報奨金ラインですが、その4倍は想像を絶しています。
aapo氏はPlayStationシーンでは無名ですが、HackerOneでの実績を見ると決して突然出てきた訳ではなく数年前から様々な企業に関わる脆弱性を報告して実績を上げている人物であることが分かります。AT&Tや Epic Gamesといった企業だけでなくWindowsの通信に関する脆弱性の報告もしています。
ですので、たまたま手を伸ばして高額な報奨金を得たのがPlayStationだったことが分かります。
aapo氏は北欧のセキュリティ企業NIXUで働いている人物で、シニアセキュリティスペシャリスト。要するにセキュリティの専門家です。
昨年夏に開催されたハッカーや研究者などが集まるイベントDEF CON 31で発表するaapo氏の動画を見つけました。
こうなるとゲームシーンで知られていないだけで、その筋では専門家です。
そんなaapo氏が発見したPlayStationの脆弱性の内容は非常に気になりますが、現時点で非公開ですのでこのまま最後まで内容が公表されることなく終わる可能性が高そうです。
本当はTheFloW氏の1万2500万ドルの脆弱性に焦点を当てた記事を書こうとしておりましたが、aapo氏の5万ドルが並んだのでかすんでしまいました。