セキュリティとプライバシー

Zoom のバグバウンティ プログラム: 2021 年の振り返り

Zoom は HackerOne のプラットフォーム上でのプライベート バグバウンティ プログラムを介し、高いスキルを持つセキュリティ研究者のグローバル チームに投資してきました。
4 分で読める

更新日 April 18, 2023

公開日 April 05, 2022

脆弱性報奨金

安心・安全なバーチャル コミュニケーションは Zoom の最優先事項です。 メッセージおよびミーティングの機密性と完全性、さらには Zoom のグローバル インフラストラクチャの可用性と信頼性は、何百人もの Zoom 社内セキュリティ エンジニアにとって主な焦点となります。

Zoom のユーザーとインフラストラクチャに対する脅威を未然に防ぐために、私たちは堅牢な防御手段の構築が極めて重要だと認識しています。したがって私たちは継続的に Zoom のプラットフォームおよびインフラストラクチャをテストして新たに発生した脅威および潜在的な脅威を特定し、脆弱性を識別しています。

セキュリティ コミュニティの人材活用

Zoom は日々、ソリューションとインフラストラクチャをテストする一方で、エシカル ハッカーのコミュニティ会員を指名してこのテストを拡大することで、特定のユースケースや状況下でしか検出できない可能性があるエッジケースの脆弱性を特定できるようにすることが重要だと認識しています。

このような理由から、Zoom は HackerOne(セキュリティ専門家の採用やつながりを実現する業界トップのプロバイダー)のプラットフォーム上での非公開の脆弱性報奨金制度を通じて、高いスキルを持つセキュリティ研究者のグローバル チームに投資してきました。非公開の脆弱性報奨金制度は招待制で、企業がセキュリティ研究者をその経歴に基づき、都合に合わせて選ぶことができます。HackerOne では、研究者の発見の関連度と実用性を測定するために有用な SNR(有益情報の比率)、研究者が寄与してきたプログラムへの影響力、および評判に基づいて各研究者の統計情報を算出しています。  

Zoom は、HackerOne プラットフォーム上で 800 名を超えるセキュリティ研究者を採用してきました。 セキュリティ研究者の共同成果により多数のバグレポートが送信され、本プログラムの導入以来、報奨金の支払い、スワッグ(名声を示す衣服など)、贈答品に関して 240 万ドルを超える報酬が支払われてきました。 Zoom は 2021 年だけでも、401 件のレポートに対して 180 万ドルを超える報酬を支払いました。 責任を持って Zoom にバグを公開していただいた皆様にお礼申し上げます。また、Zoom の「トップ 10」リストを作成いただいた以下の研究者の方々には特別感謝しております。

todayisnew さんmrtuxracer さんandi さんfixit さんd0xing さん
badcracker さんkawiri さんskavens さんgodiego さんcache-money さん
2021 年 に支払われた報奨金

研究者の採用方法

昨年、Zoom の脆弱性管理およびバグ報奨金(VMBB)プログラム チームは、競合の激しい研究者の採用市場を開拓し、優れた体験を提供することでより「ロックスター(優秀)」なセキュリティ研究者を引き付けて、Zoom のプログラムに参加してもらうことにフォーカスしました。

最高の人材を引き付けるために、私たちは方針をサポートし、Zoom のプログラムを改善する次の 5 つの指針を確立しました。

  • 許可されるテストの種類、本制度の「セーフハーバー」ポリシーに関する詳細、特定の種類の脆弱性レポートに対する報奨金支払い金額範囲のメニューを詳しく説明する、明確かつ簡潔なプログラム ポリシーを提供すること。
  • 脆弱性報奨金制度において「スコープ」とも呼ばれる、攻撃対象領域を継続的に拡大すること、およびスコープ外(つまりオフリミット)の明確な定義を行うこと。
  • 本制度における返信、修正、支払いの時間をできる限り短縮すること。返信や報酬の支払いを好んで待つ人はいません。それはエシカル ハッカーも同様です。
  • 脆弱性報奨金制度の管理、送信されたレポートのトリアージ、報奨金支払いの判断を行う Zoom 従業員とのプロフェッショナルな関係および直接的な信頼関係を構築すること。
  • 研究者の成果と、悪用された場合に脆弱性が及ぼす可能性がある影響の重大度を正確に反映する競争力を備えた報奨金システムであること。

Zoom プログラムの進化

既存の研究者をサポートし、新しい研究者を引き付けるために、2021 年 Zoom はいくつかの主要なアップデートもバグバウンティ プログラムに導入しました。 以下はほんの一例です。

  • 報告される脆弱性の重大度のみに基づく固定制の報奨金範囲を撤廃し、「報奨金メニュー」を導入しました。このメニューでは、発見された脆弱性の種類、および Zoom のユーザーとインフラストラクチャに与える可能性がある実証済みの影響に基づいて特定の報奨金額を研究者に提供します。2021 年 1 月、Zoom は 1 件の報告に対する報奨金の最高額を 5 万ドル、最低額を 250 ドルまで引き上げました。
  • 私たちは、定評のあるセキュリティ研究者だけでなく、誰でも脆弱性レポートを Zoom に送信できるようにする公開脆弱性開示プログラム(VDP)を有効にしました。 これにより、レポート受信が合理化され、Zoom の適切なチームがすばやく関与できるようになりました。こうすることで、最終的には迅速なバグ修正とより安全な製品が実現されます。
  • 2021 年 10 月、私たちは VIP バグバウンティ プログラムを立ち上げました。 このプログラムでは、Zoom ソリューションのライセンス ユーザー バージョンにフォーカスしており、セキュリティ テストの範囲を拡張しています。
  • 2021 年全般において、Zoom VMBB チームは初期対応、選別、修正、報奨金支払いの時間短縮にフォーカスしました。 現在の指標によれば、初期対応の平均時間は 4 時間未満であり、受信レポートの選別は通常 48 時間未満で完了しています。 報奨金支払いは毎週チームで議論され、レビューされています。これにより、通常レポート送信から 14 日以内に報奨金が支払われることになります。
  • 研究者との継続的な関係構築のために、Zoom は世界中の研究者と交流を目的とした Zoom Meetings を複数回主催してきました。 大学の生徒や教授から、「何かおかしい」と気付いた Zoom ユーザーに対するハッキングをただ毎日研究している優れたティーンエイジャーに至るまで、エシカル ハッカー コミュニティ内には非常に多様な人材がいます。

今後の展望

2021 年、私たちは多くを学び、大きく成長しました。そして 2022 年、これらの取り組みを拡大して、さらに多くのエシカル ハッカーと協力することを楽しみにしています。Zoom のセキュリティ向上にご協力いただける場合は、HackerOne のプロフィール名を bugbounty@zoom.us までお知らせいただくか、Zoom 採用情報ページにアクセスしてトラスト&セキュリティ チーム内の欠員情報をご確認ください。よろしくお願いいたします。

Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。

ご愛顧いただいているお客様

Okta
NASDAQ
楽天
Logicool
Western Union
オートデスク
Dropbox
Okta
NASDAQ
楽天
Logicool
Western Union
オートデスク
Dropbox

Zoom - すべてのつながりをひとつのプラットフォームで