Zoom のバグバウンティ プログラム: 2021 年の振り返り

Zoom は日々、ソリューションとインフラストラクチャをテストする一方で、エシカル ハッカーのコミュニティ会員を指名してこのテストを拡大することで、特定のユースケースや状況下でしか検出できない可能性があるエッジケースの脆弱性を特定できるようにすることが重要だと認識しています。

このような理由から、Zoom は HackerOne（セキュリティ専門家の採用やつながりを実現する業界トップのプロバイダ）のプラットフォーム上でのプライベート バグバウンティ プログラムを介し、高いスキルを持つセキュリティ研究者のグローバル チームに投資してきました。 プライベート バグバウンティ プログラムは、招待専用プログラムです。このプログラムでは、企業がセキュリティ研究者をその仕事経歴に基づき、都合に合わせて選ぶことができます。 HackerOne では、研究者の知見がどの程度関連性を持ち、実用的であるかを測定するために有用な SNR（有益情報の比率）、研究者が寄与してきたプログラムへの影響力、および評判に基づいて各研究者の統計情報を算出しています。  

Zoom は、HackerOne プラットフォーム上で 800 名を超えるセキュリティ研究者を採用してきました。 セキュリティ研究者の共同成果により多数のバグレポートが送信され、本プログラムの導入以来、報奨金の支払い、スワッグ（名声を示す衣服など）、贈答品に関して 240 万ドルを超える報酬が支払われてきました。 Zoom は 2021 年だけでも、401 件のレポートに対して 180 万ドルを超える報酬を支払いました。 責任を持って Zoom にバグを公開していただいた皆さまにお礼申し上げます。また、Zoom の「トップ 10」リストを作成いただいた以下の研究者の方々には特別感謝しております。

昨年、Zoom の脆弱性管理およびバグ報奨金（VMBB）プログラム チームは、競合の激しい研究者の採用市場を開拓し、優れた体験を提供することでより「ロックスター（優秀）」なセキュリティ研究者を引き付けて、Zoom のプログラムに参加してもらうことにフォーカスしました。

最高の人材を引き付けるために、私たちは方針をサポートし、Zoom のプログラムを改善する次の 5 つの指針を確立しました。

• 許可されるテストの種類、プログラムの「免責」ポリシーに関する詳細、特定の種類の脆弱性レポートに対する報奨金支払い範囲のメニューを詳しく説明する、明確かつ簡潔なプログラム ポリシーであること。
  
• バグバウンティ プログラムにおいて「スコープ」とも呼ばれる、攻撃対象領域の一貫した拡張、およびスコープ外（つまりオフリミット）の明確な定義を行うこと。
  
• プログラムにおける返信、修正、支払いの時間をできる限り短縮すること。 返信や作業に対する支払いを待つことが好きな人はいません。これはエシカル ハッカーも同様です。
  
• バグバウンティ プログラムを管理し、レポート送信を選別して報奨金支払いを判断する Zoom 従業員とのプロフェッショナルな関係および直接的なラポートの構築をすること。
  
• 研究者の成果と、悪用された場合に脆弱性が及ぼす可能性がある影響の重大度を正確に反映する競争力を備えた報奨金システムであること。

既存の研究者をサポートし、新しい研究者を引き付けるために、2021 年 Zoom はいくつかの主要なアップデートもバグバウンティ プログラムに導入しました。 以下はほんの一例です。

• 報告される脆弱性の重大度のみに基づいた静的な報奨金の範囲を撤廃し、「報奨金メニュー」を導入しました。このメニューでは、発見された脆弱性の種類、および Zoom のユーザーとインフラストラクチャに与える可能性がある立証済みの影響に基づいて特定の報奨金を研究者に提供します。 2021 年 1 月、Zoom は 1 つのレポートに対する報奨金体系の最高額を 5 万ドルまで引き上げ、同様に最低額を 250 ドルまで引き上げました。

• 私たちは、定評のあるセキュリティ研究者だけでなく、誰でも脆弱性レポートを Zoom に送信できるようにする公開脆弱性開示プログラム（VDP）を有効にしました。 これにより、レポート受信が合理化され、Zoom の適切なチームがすばやく関与できるようになりました。こうすることで、最終的には迅速なバグ修正とより安全な製品が実現されます。

• 2021 年 10 月、私たちは VIP バグバウンティ プログラムを立ち上げました。 このプログラムでは、Zoom ソリューションのライセンス ユーザー バージョンにフォーカスしており、セキュリティ テストの範囲を拡張しています。
  
• 2021 年全般において、Zoom VMBB チームは初期対応、選別、修正、報奨金支払いの時間短縮にフォーカスしました。 現在の指標によれば、初期対応の平均時間は 4 時間未満であり、受信レポートの選別は通常 48 時間未満で完了しています。 報奨金支払いは毎週チームで議論され、レビューされています。これにより、通常レポート送信から 14 日以内に報奨金が支払われることになります。

• 研究者との継続的な関係構築のために、Zoom は世界中の研究者と交流を目的とした Zoom Meetings を複数回主催してきました。 大学の生徒や教授から、「何かおかしい」と気付いた Zoom ユーザーに対するハッキングをただ毎日研究している優れたティーンエイジャーに至るまで、エシカル ハッカー コミュニティ内には非常に多様な人材がいます。

2021 年、私たちは多くを学び、大きく成長しました。そして 2022 年、これらの取り組みを拡張して、より多くのエシカル ハッカーと連携することを楽しみにしています。 Zoom をより安全なものにするためのサポートにご興味があれば、HackerOne のプロフィール名を bugbounty@zoom.us にメール送信いただくか、Zoom 採用情報ページにアクセスしてトラスト＆セキュリティ チーム内の欠員情報をご確認ください。 よろしくお願いいたします！

Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。