Zoom とお客様の保護: 2022 年 Zoom 脆弱性報奨金制度における成果の概要

セキュリティにおいては、先手をとることがもっとも重要です。 私たちは悪意のあるユーザーよりも先に脆弱性や問題を特定できるよう競争を繰り広げているため、エシカル ハッキング コミュニティを活用して先手をとるサポートを依頼しています。

私たちは、Zoom 脆弱性報奨金制度を介してこのようなサポートを取得しています。この制度では、事前にリスクを緩和し、お客様にとってより安全な環境を構築できるようにする専門研究者とつながり、協力を依頼することができます。 そして昨年、コミュニティとして私たちは多くの成果を実現しました。 以下がその概要になります。

私たちは日々 Zoom インフラストラクチャをテストしていますが、エッジケースの脆弱性については懸念が残るものです。 そこで私たちはサポートを依頼しています。エシカル ハッカー コミュニティのメンバーにより、特定の状況下でのみ見つかることがある脆弱性が検出されるケースがあるのです。

以上の理由から Zoom 脆弱性報奨金制度ではスキルを有した優秀な研究者の採用にフォーカスしています。 2022 年、私たちは研究者の皆様に、現役の優秀なセキュリティ人材の呼びかけにフォーカスした HackerOne プログラムへの参加招待状を追加送付しました。 私たちは脆弱性報奨金制度以外の方法でも優秀な人材を発掘したいと考えており、業界イベント（H1-702 など）を介したコミュニティを活用しました。

このような研究者の皆様には、私たちのサポートに尽力いただいております。そこで私たちは優秀なレポート提出に対して相応に評価・称賛するよう努めています。 2023 年度、私たちは 390 万ドルの報奨金を数百名の研究者の皆様にお支払いしました。また本制度の開始以来、700 万ドルを超える報奨金をお支払いしてきました。

脆弱性の特定以外にも、外部研究者の皆様のサポートにより、Zoom の発展に別の側面から寄与していただきました。 私たちはこれらのレポートを活用して、注意すべき項目の実証、問題に対するルートレベルの原因の周知、効率的な部門間連携の構築、問題化に先立つ潜在的な脅威の検出を行っています。 結果として、脆弱性報奨金レポートの解決にかかる時間が過去 2 年間と比較して大幅に削減されました。

今年初め、私たちはチームを再構築し、2024 年度向けに脆弱性報奨金制度の改定版を策定しました。 私たちは脆弱性報奨金制度に現在所属する研究者の皆様を評価し、全員に対して現役かつ貢献的であることの確認を行いました。 私たちは新年において、幸先の良い一歩を踏み出したいと考えており、これはすべてスキルを有した優秀な研究者の皆様と連携することから始まります。

また、Zoom 脆弱性報奨金制度では、最新版の脆弱性影響度評価システムを導入して研究者の皆様が最大限力を発揮できるようにしていきます。 私たちは引き続き、業界標準の共通脆弱性評価システム（CVSS）を使用してレポートを評価する一方で、脆弱性影響度評価システム（VISS）というコンパニオン評価システムを追加するよう本制度を発展させていきます。このシステムにより Zoom インフラストラクチャ、テクノロジー、顧客データのセキュリティに関連するものとして報告される各脆弱性への影響度 13 項目が分析されます。 VISS 導入に伴い、脆弱性報奨金制度では理論上の潜在的な悪影響ではなく、確実に実証される影響度を測定することによりフォーカスできます。

Zoom 脆弱性報奨金制度が昨年にわたり発展してきたことに伴い、私たちは継続してプロセス、報奨金、テスト範囲を発展させ、練り上げています。 私たちは新たな評価システムの影響と 2023 年の研究者の皆様の活躍を非常に楽しみにしております。

Zoom をより安全なものにするためのサポートにご興味があれば、HackerOne のプロフィール名を bugbounty@zoom.us にメール送信いただくか、Zoom 採用情報ページにアクセスしてトラスト＆セキュリティ チーム内の欠員情報をご確認ください。よろしくお願いいたします。

Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。