セキュリティとプライバシー
5 分で読める
Zoom によってサイバー空間での安全を確保する方法
10 月はサイバーセキュリティ月間ですが、サイバーセキュリティに対する意識は、年間を通じて常に持っておくべきです。職場や家庭でデータを保護するためのヒントをご覧ください。
未来の安全を確保: Zoom が H1-4420 イベントで HackerOne と協力
2023 年 6 月 22 日にロンドンの CodeNode で開催された HackerOne H1-4420 イベントに Zoom はスポンサーとして参加し、貴重な時間を共有しました。
4 分で読める
更新日 August 02, 2023
公開日 July 24, 2023
本ブログの内容
- 01 世界のトップハッカーが集結 - Jumplink to 世界のトップハッカーが集結
- 02 バグの評価: CVSS と VISS を使った脆弱性評価 - Jumplink to バグの評価: CVSS と VISS を使った脆弱性評価
- 03 AI を使用した Zoom のイースター エッグ探し - Jumplink to AI を使用した Zoom のイースター エッグ探し
- 04 創造性と楽しみを解放: ハッカー向けアクティビティ - Jumplink to 創造性と楽しみを解放: ハッカー向けアクティビティ
- 05 研究者を表彰: Zoom の脆弱性報奨金制度のインパクト - Jumplink to 研究者を表彰: Zoom の脆弱性報奨金制度のインパクト
この投稿を共有
Roy Davis
セキュリティ マネージャー
Zoom では、「セキュリティ」と「プライバシー」は単なる流行語ではなく、Zoom の文化や主な取り組みの一部になっています。 サイバーセキュリティを取り巻く状況が進化し続ける中で、潜在的な脅威の常に先を行くことの大切さを我々は知っています。 だからこそ Zoom では、悪意のあるアクターが脆弱性を悪用する前にそれを特定して対処するため、倫理的なハッキング コミュニティの専門知識を活用しています。 このための 1 つの方法として、Zoom は HackerOne とパートナーシップを結び、HackerOne のライブ ハッキング イベントに参加しています。
2023 年 6 月 22 日にロンドンの CodeNode で開催された HackerOne H1-4420 イベントに Zoom はスポンサーとして参加し、貴重な時間を共有しました。 このイベントでは、世界中から集った最も才能のあるホワイト ハッカー数名とコラボレーションする貴重な機会に恵まれ、ハッカーの皆様に Zoom プラットフォームのセキュリティ強化の支援に協力していただきました。 このコミュニティに積極的に関わることで、リスクを軽減できるだけでなく、イノベーションを促進して継続的にサービスを向上できます。
H1-4420 イベントには 41 か国から 90 名を超えるセキュリティ専門家が対面とバーチャルで集結しました。熟練したハッカー達が Zoom プラットフォームを詳細に調べ、Zoom Mail や Zoom Calendar から Zoom AI Companion に至るさまざまなプロダクトに潜む脆弱性を探し出しました。そんなハッカー達の計り知れないサポートのおかげで、Zoom プロダクトは進化し、お客様により手厚い保護を提供できるのです。多大なる尽力に心から感謝申し上げます。
報奨金獲得者およびその他のカテゴリの H1-4420 トップ パフォーマーは以下のとおりです。
第 1 位、エクスタミネーター: cache-money
第 2 位、ビジランティ: f6x
最優秀コラボレーション: tomanthony、todayisnew、hx01、shubs
Zoom は、HackerOne がこうした個人ハッカーによる戦略的ホワイト ハッキングを称え、支持する支援ができて、大変嬉しく思っています。
H1-4420 に参加したハッカーは、従来通りの手法である共通脆弱性評価システム(CVSS)と、Zoom が新たに編み出した脆弱性影響度評価システム(VISS)の両方を使用して、高度なバグ評価プロセスを実施しました。 VISS では、表面的な分析にとどまらず、バグ一つひとつが実際に Zoom プラットフォームに与えた影響を評価しました。
脆弱性報奨金制度に VISS を組み込むことで、チームは効率的にリソースを割り当て、最も重要な脆弱性に集中できるようになります。 こうした積極的なアプローチにより、総合的なセキュリティ体制が強化され、大切なお客様に安全で保護された環境を確実に提供できるようになります。 堅牢なセキュリティ対策や、お客様との信頼構築に取り組む Zoom の姿勢は VISS の導入にも表れており、Zoom は今後も包括的なセキュリティ対策を継続的に追求して業界をリードするよう邁進していきます。
今年のイベントで、Zoom は追加問題として 3 つの「イースター エッグ」も作成し、参加者に解決してもらいました。 お題は、3 つのパズルそれぞれで、異なる種類のエクスプロイテーションを使用して異なる暗号化アルゴリズムを破ることでした。 ある例では、「rez0」という名前のハッカーが AI ツールに支援してもらいながら新しい単語リストを生成し、ブルート フォース手法で問題を解きました。 ハッカーが AI ツールを使用して、さらに効率的に脆弱性の検出やエクスプロイテーションの取り組みを実施していることに、最近よく気付かされます。
イベントで行われたのは、ハッキングとサイバーセキュリティの議論だけではありません。 参加者の皆様に、リラックスして楽しく過ごしていただく催しも考えました。 HackerOne は、ハッカーが自宅宛にポストカードを送ることができるカスタム ポストカード ステーションを設置し、ハッカー達が仕事をいったん忘れて心地よい時間を過ごせるようにしました。 さらに、ハッカー達が創造力を発揮し芸術的に表現する時間を満喫できるよう、塗り絵の壁も用意しました。 Zoom は、バランスの取れた和気あいあいとした雰囲気がコラボレーションを促し、新しいアイデアのひらめきにつながると信じています。
前年度、Zoom では数百名の研究者に対して 3,900 万ドルの報奨金を授与し、脆弱性報奨金制度の発足以来授与された報奨金の総額は 700 万ドルを超えました。 この投資は、お客様に最高レベルのセキュリティとプライバシー保護を提供し続けるという Zoom のひたむきな姿勢を表しています。
脆弱性報奨金制度を引き続き発展させることに加え、H1-4420 のようなイベントは、サイバーセキュリティの世界で一歩前を進むために必要なコラボレーションと総力がもつ力を思い出させる役目を果たしています。 世界中のホワイト ハッカーと協力して取り組むことで、脆弱性に先手を打って対処し、お客様にとって安全な環境を構築できます。
ホワイト ハッキングの取り組みと脆弱性開示ポリシーの詳細情報は、Zoom の脆弱性報奨金制度ページをご覧ください。
編集部注: このブログ投稿は、2023 年 7 月 31 日に掲載した内容を編集したもので、脆弱性報奨金制度の最新情報を掲載しています。
こちらもおすすめ
関連リソース
