昨年の振り返り: 2023 年に脆弱性報奨金制度がもたらした Zoom セキュリティへのメリット
Zoom 脆弱性報奨金制度では、セキュリティ脆弱性の検出と責任ある開示を奨励しています。昨年のハイライトを振り返っていきましょう。
更新日 April 22, 2024
公開日 September 25, 2023
Zoom は日々、ソリューションとインフラストラクチャをテストする一方で、エシカル ハッカーのコミュニティ会員を指名してこのテストを拡大することで、特定のユースケースや状況下でしか検出できない可能性があるエッジケースの脆弱性を特定できるようにすることが重要だと認識しています。
このような理由から、Zoom は HackerOne(セキュリティ専門家の採用やつながりを実現する業界トップのプロバイダ)のプラットフォーム上でのプライベート バグバウンティ プログラムを介し、高いスキルを持つセキュリティ研究者のグローバル チームに投資してきました。 プライベート バグバウンティ プログラムは、招待専用プログラムです。このプログラムでは、企業がセキュリティ研究者をその仕事経歴に基づき、都合に合わせて選ぶことができます。 HackerOne では、研究者の知見がどの程度関連性を持ち、実用的であるかを測定するために有用な SNR(有益情報の比率)、研究者が寄与してきたプログラムへの影響力、および評判に基づいて各研究者の統計情報を算出しています。
Zoom は、HackerOne プラットフォーム上で 800 名を超えるセキュリティ研究者を採用してきました。 セキュリティ研究者の共同成果により多数のバグレポートが送信され、本プログラムの導入以来、報奨金の支払い、スワッグ(名声を示す衣服など)、贈答品に関して 240 万ドルを超える報酬が支払われてきました。 Zoom は 2021 年だけでも、401 件のレポートに対して 180 万ドルを超える報酬を支払いました。 責任を持って Zoom にバグを公開していただいた皆さまにお礼申し上げます。また、Zoom の「トップ 10」リストを作成いただいた以下の研究者の方々には特別感謝しております。
昨年、Zoom の脆弱性管理およびバグ報奨金(VMBB)プログラム チームは、競合の激しい研究者の採用市場を開拓し、優れた体験を提供することでより「ロックスター(優秀)」なセキュリティ研究者を引き付けて、Zoom のプログラムに参加してもらうことにフォーカスしました。
最高の人材を引き付けるために、私たちは方針をサポートし、Zoom のプログラムを改善する次の 5 つの指針を確立しました。
既存の研究者をサポートし、新しい研究者を引き付けるために、2021 年 Zoom はいくつかの主要なアップデートもバグバウンティ プログラムに導入しました。 以下はほんの一例です。
2021 年、私たちは多くを学び、大きく成長しました。そして 2022 年、これらの取り組みを拡張して、より多くのエシカル ハッカーと連携することを楽しみにしています。 Zoom をより安全なものにするためのサポートにご興味があれば、HackerOne のプロフィール名を bugbounty@zoom.us にメール送信いただくか、Zoom 採用情報ページにアクセスしてトラスト&セキュリティ チーム内の欠員情報をご確認ください。 よろしくお願いいたします!
Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。