未来の安全を確保: Zoom が H1-4420 イベントで HackerOne と協力

H1-4420 イベントには 41 か国から 90 名を超えるセキュリティ専門家が対面とバーチャルで集結しました。 熟練したハッカー達が Zoom プラットフォームを詳細に調べ、Zoom Mail や Zoom Calendar から Zoom AI Companion に至るさまざまなプロダクトに潜む脆弱性を探し出しました。 そんなハッカー達の計り知れないサポートのおかげで、Zoom プロダクトは進化し、お客様により手厚い保護を提供できるのです。 多大なる尽力に心から感謝申し上げます。

報奨金獲得者およびその他のカテゴリの H1-4420 トップ パフォーマーは以下のとおりです。

第 1 位、エクスタミネーター: cache-money

第 2 位、ビジランティ: f6x

最優秀コラボレーション: tomanthony、todayisnew、hx01、shubs

Zoom は、HackerOne がこうした個人ハッカーによる戦略的ホワイト ハッキングを称え、支持する支援ができて、大変嬉しく思っています。

H1-4420 に参加したハッカーは、従来通りの手法である共通脆弱性評価システム（CVSS）と、Zoom が新たに編み出した脆弱性影響度評価システム（VISS）の両方を使用して、高度なバグ評価プロセスを実施しました。 VISS では、表面的な分析にとどまらず、バグ一つひとつが実際に Zoom プラットフォームに与えた影響を評価しました。

脆弱性報奨金制度に VISS を組み込むことで、チームは効率的にリソースを割り当て、最も重要な脆弱性に集中できるようになります。 こうした積極的なアプローチにより、総合的なセキュリティ体制が強化され、大切なお客様に安全で保護された環境を確実に提供できるようになります。 堅牢なセキュリティ対策や、お客様との信頼構築に取り組む Zoom の姿勢は VISS の導入にも表れており、Zoom は今後も包括的なセキュリティ対策を継続的に追求して業界をリードするよう邁進していきます。

今年のイベントで、Zoom は追加問題として 3 つの「イースター エッグ」も作成し、参加者に解決してもらいました。 お題は、3 つのパズルそれぞれで、異なる種類のエクスプロイテーションを使用して異なる暗号化アルゴリズムを破ることでした。 ある例では、「rez0」という名前のハッカーが AI ツールに支援してもらいながら新しい単語リストを生成し、ブルート フォース手法で問題を解きました。 ハッカーが AI ツールを使用して、さらに効率的に脆弱性の検出やエクスプロイテーションの取り組みを実施していることに、最近よく気付かされます。

イベントで行われたのは、ハッキングとサイバーセキュリティの議論だけではありません。 参加者の皆様に、リラックスして楽しく過ごしていただく催しも考えました。 HackerOne は、ハッカーが自宅宛にポストカードを送ることができるカスタム ポストカード ステーションを設置し、ハッカー達が仕事をいったん忘れて心地よい時間を過ごせるようにしました。 さらに、ハッカー達が創造力を発揮し芸術的に表現する時間を満喫できるよう、塗り絵の壁も用意しました。 Zoom は、バランスの取れた和気あいあいとした雰囲気がコラボレーションを促し、新しいアイデアのひらめきにつながると信じています。

前年度、Zoom では数百名の研究者に対して 3,900 万ドルの報奨金を授与し、脆弱性報奨金制度の発足以来授与された報奨金の総額は 700 万ドルを超えました。 この投資は、お客様に最高レベルのセキュリティとプライバシー保護を提供し続けるという Zoom のひたむきな姿勢を表しています。

脆弱性報奨金制度を引き続き発展させることに加え、H1-4420 のようなイベントは、サイバーセキュリティの世界で一歩前を進むために必要なコラボレーションと総力がもつ力を思い出させる役目を果たしています。 世界中のホワイト ハッカーと協力して取り組むことで、脆弱性に先手を打って対処し、お客様にとって安全な環境を構築できます。

ホワイト ハッキングの取り組みと脆弱性開示ポリシーの詳細情報は、Zoom の脆弱性報奨金制度ページをご覧ください。

編集部注: このブログ投稿は、2023 年 7 月 31 日に掲載した内容を編集したもので、脆弱性報奨金制度の最新情報を掲載しています。