昨年の振り返り: 2023 年に脆弱性報奨金制度がもたらした Zoom セキュリティへのメリット

セキュリティは Zoom の最優先事項であり、さまざまなプログラムや取り組みを介して継続的にコミットする投資対象でもあります。Zoom 脆弱性報奨金制度は、オンライン セキュリティの強化を目的とした取り組みの一環であり、コラボレーション、イノベーション、Zoom コミュニティ全体にわたる継続的な改善におけるベストサンプルの 1 つです。2019 年以来、弊社はリサーチャー コミュニティと積極的に連携してきました。そしてこのたび、Zoom の防御機能を強化し、ユーザーのプライバシーとセキュリティを保護するための脆弱性報奨金のお支払い総額が 1,000 万ドルを超えたことを発表させていただきます。

Zoom 脆弱性報奨金制度は、セキュリティ脆弱性の検出と責任ある開示を奨励する目的で策定されています。過去 2 年間で、弊社はあらゆるセキュリティ レポートに迅速に対応できるよう合理化されたプロセスを導入してきました。Zoom にご協力いただくリサーチャー（現在 800 名以上）がバグを検出して送信すると、Zoom セキュリティ チームはそのレポートを分析、再現して、平均わずか数時間以内に適切な社内開発チームに引き継いで修正を行っています。

Zoom は 3 年以上にわたり、プログラム運用におけるレポート当たりの費用を削減すると同時に、Zoom プラットフォームに具体的な影響を与える脆弱性の特定数を増やしてきました。つまり、わずか 3 年間で有効なレポート当たりの費用を 40% 削減し、2 倍以上のレポート受信を達成したのです。

VISS

2023 年 1 月、Zoom 脆弱性報奨金チームは、脆弱性の悪用がシステムに与える実際の影響を測定できるよう革新的な新しいメカニズムを構築、改良、リリースすることに専念していました。同年 3 月に導入された脆弱性影響評価システム（VISS）は Github でオープンソース化されており、これは同チームの共同努力により生まれたシステムと言えます。

Zoom は 1 年以上にわたって VISS を運用しており、脆弱性が与える影響についてより客観的な測定を検討している、別の脆弱性報奨金チームにおける関心の強まりを実感してきました。これまでのところ、VISS に関するセキュリティ チーム間の連携やフィードバックは肯定的に報告されています。また、セキュリティ リサーチャーからもフィードバックをいただくことで、VISS におけるチーム間連携や実際の影響へのフォーカス、さらには脆弱性報奨金管理に対する Zoom の透明性の高いアプローチが強化されています。

Zoom の CISO である Michael Adams は「VISS を使用すると、弊社はセキュリティ リサーチャーのレポートに沿って調整を行い、もっとも重要かつ最大レベルの影響をもたらす事案にフォーカスして、そのレポートに応じた報酬をお支払いできます」と述べています。また、同氏は「レポートに応じた報酬を支払うだけでなく、評価レベルの明確化によるリサーチャーへの動機付けが必要です。スコアシステムを明確にできないと、リサーチャーに評価基準を理解してもらえないでしょう。今では、一定レベルの明確な評価基準を提供できるようになりました」とも付け加えています。

本システムの仕様を詳しく確認し、Zoom が導入した VISS 計算ツールをお試しいただくには、VISS の仕様（完全版）をご覧ください。

HackerOne

弊社は、昨年 6 月 22 日にロンドンの CodeNode で開催された HackerOne H1-4420 イベントのスポンサーになるという光栄な機会に恵まれました。本イベントでは、41 か国から集まった 90 名以上の優秀なエシカル ハッカーとコラボレーションする貴重な機会をいただき、皆様の連携により Zoom プラットフォームのセキュリティ強化を実現できました。このコミュニティに積極的に関わることで、リスクを軽減するだけでなく、イノベーションを促進し、継続的にサービスを改善することもできます。こちらからイベントの概要をご覧ください。

脆弱性報奨金

2023 年は弊社の脆弱性報奨金制度にとって大変意義深い年となり、200 名を超えるセキュリティ リサーチャーから送信された 1,000 件以上もの有効なレポートに対して 240 万ドルを超える脆弱性報奨金をお支払いしました。これにより、脆弱性報奨金の累計総額は 1,000 万ドルを超えました。

AI および機械学習と Zoom プロダクトとの緊密な連携が進むにつれ、Zoom 脆弱性報奨金チームは数多くのトップ リサーチャーと連携して脆弱性を特定できるよう尽力してきました。生成 AI の台頭は、新たなセキュリティとプライバシーのリスク（誤情報、データ ポイズニング、データ流出など）をもたらします。HackerOne プラットフォームを活用すると、Zoom VIP プログラム内のキャンペーン機能から Zoom とリサーチャーとの有意義な双方向コラボレーションに必要なあらゆるバックエンド処理機能を利用できます。

弊社は AI へのフォーカスに加え、2024 年における戦略の一環として強力な機能セットを準備しています（本年リリース予定）。これに伴い、弊社は 2024 年 4 月 1 日～30 日開催の「Spring BREAKAGE」プロモーションにて数多くの送信が予想される新規レポートに期待を寄せています。本プロモーションでは、脆弱性テストの対象として複数の新機能が追加され、報奨金も引き上げられました。

Zoom のセキュリティ強化のサポートにご興味をお持ちの方は、HackerOne のプロフィール名を bugbounty@zoom.us までメールにてお知らせいただくか、Zoom 採用情報ページにアクセスして、トラスト＆セキュリティ チームの募集職種をご確認ください。皆様のご参加をお待ちしております。

Zoom のプライバシーとセキュリティの詳細については、トラスト センターをご覧ください。バグをご検出いただいた場合はこちらから脆弱性の問題を送信してください。