ゼロデイイニシアチブ

ゼロデイイニシアチブ
会社の種類	ソフトウェア脆弱性プログラム
業界	サイバーセキュリティ
設立	2005年7月25日; 20年前（2005年7月25日）
所有者	トレンドマイクロ
Webサイト	www.zerodayinitiative.com

国際的なソフトウェア脆弱性の取得

ゼロデイ・イニシアチブ（ZDI）は、3Comの一部門であるTippingPointが2005年に開始した国際的なソフトウェア脆弱性対策イニシアチブです。^[1]このプログラムは、2015年のHP TippingPoint買収の一環としてトレンドマイクロに買収されました。 ^[2]

ZDI は、独立したセキュリティ研究者からさまざまなソフトウェアの脆弱性を購入し、それらの情報を公開する前に、元のベンダーにこれらの脆弱性を開示してパッチを適用します。

歴史

ZDIは2005年7月25日にTippingPointによって設立され、当初はDavid EndlerとPedram Aminiが主導しました。^[3] ZDIの名称にある「ゼロデイ」とは、ベンダーが特定のソフトウェアの脆弱性に初めて気付いた日、つまりゼロデイを指します。このプログラムは、ソフトウェア脆弱性の研究者やハッカーが、様々なソフトウェアの脆弱性を発見した場合に、報奨金を支払うことを目的として開始されました。インセンティブの欠如や安全性・機密性に関する懸念から、研究者やハッカーは、ベンダーのソフトウェアに脆弱性を発見しても、ベンダーにアプローチすることを躊躇しがちです。ZDIは、研究者と脆弱性の背後にある機密情報の両方を保護しながら、脆弱性発見の情報を収集し、インセンティブを与えるためのサードパーティプログラムとして作成されました。^[3]

ZDIの貢献者は、 Firefox 3、^[4] Microsoft Windows、^[5] QuickTime for Windows、^[6]およびさまざまなAdobe製品にセキュリティ上の脆弱性を発見しました。^[7]^[8]

^{ZDIは脆弱性に関する社内調査も行っており、Adobe製品[9]} 、 Microsoft製品^{[10] 、}^{[ 11]、[}^12]、 VMware製品^[13]、Oracle Java ^[14]^、[15]などに多くの脆弱性を発見しています。

2016年、ZDIはマイクロソフトとアドビ両社にとってバグのトップ外部サプライヤーであり、「公開されたマイクロソフトの脆弱性の22%とアドビソフトウェアで発見された公開された脆弱性の28%を購入して公開した。」^[16]

ZDIはまた、年に3回開催されるPwn2Ownハッキングコンテストの審査も行っており、 ^[17]ハッカーチームは賞金と、攻撃に成功したソフトウェアやハードウェアデバイスを持ち帰ることができます。

エクスプロイトの購入

ソフトウェアのエクスプロイトの販売、そしてそのような脆弱性を購入する団体に対しては批判が寄せられてきました。この行為は合法ですが、その倫理性は常に疑問視されています。多くの批判者は、ソフトウェアのエクスプロイトが販売された後に何が起こるのかを懸念しています。^[18]ソフトウェアの欠陥を発見したハッカーや研究者は、それらの脆弱性を政府機関、第三者企業、闇市場、あるいはソフトウェアベンダー自身に販売することができます。

ソフトウェアのエクスプロイトの公正市場価格とブラックマーケット価格は大きく異なり（数万ドルの差が出ることも珍しくありません）、^[19]ソフトウェアの脆弱性を購入することへの影響も同様です。こうした懸念から、セキュリティ研究者が脆弱性を報告・販売する場として、ZDIなどのサードパーティプログラムが登場しました。^[19]

ZDIは、リモートコード実行、権限昇格、情報漏洩などの脆弱性の報告を受け付けていますが、「多くのバグ報奨金プログラムで主流となっているクロスサイトスクリプティング（XSS）のバグを含め、あらゆる種類のバグを購入するわけではありません。」^[16]

参考文献

^ “A Lively Market, Legal and Not, for Software Bugs”. The New York Times . 2007年1月30日. 2020年11月9日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「トレンドマイクロ、HP TippingPointを3億ドルで買収へ」CRN、2015年10月21日。 2021年6月21日閲覧。
^ ab 「脆弱性報奨金制度のメリットをめぐりグループが議論」Security Focus、2006年4月5日。2021年2月2日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「Zero Day Initiative、Firefox 3に初の脆弱性を発見」Wired 2008年6月19日. 2020年10月29日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「Stuxnet Redux: Microsoft、5年間未公開だったWindowsの脆弱性を修正」The Register、2015年3月10日。2020年10月28日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ 「なぜQuickTime for Windowsは突然サポート終了になったのか？」TechTarget。2020年12月2日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ “Stop the Flash madness - 5 bugs a week”. Computer Weekly. 2015年8月16日. 2020年11月8日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ 「Adobe AcrobatおよびReaderのセキュリティアップデートが利用可能」Adobe、2015年12月11日。2020年5月25日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「攻撃と防御による権限昇格への取り組み」Black Hat. 2020年11月19日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ “Microsoft、HP研究者に12万5000ドルのバグ報奨金を授与”. ZD Net. 2015年2月5日. 2020年9月29日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ “未修正のInternet Explorerの欠陥を突くエクスプロイトコードが公開される”. ZD Net. 2015年6月22日. 2020年11月8日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「サイレント緩和策の悪用 - Internet Explorerの弱点を理解する」Black Hat、2015年12月29日。 2020年10月21日閲覧。
^ “T302 VMware Escapology How to Houdini The Hypervisor AbdulAziz Hariri Joshua Smith”. Adrian Crenshaw. 2017年9月22日. 2021年2月16日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ “Black Hat USA 2013 - Java Every-Days: 30億台のデバイスで稼働するソフトウェアの活用”. Black Hat. 2013年12月3日. 2021年2月16日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ 「研究者が攻撃を受けたOracle WebLogicの欠陥を分析」Dark Reading、2020年5月11日。2020年10月31日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ ab 「世界最大級のバグ報奨金プログラムの内幕」Computer Weekly、2018年7月9日。2020年9月20日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ 「Pwn2Ownコンテスト、このテスラを悪用したハッキングに90万ドルの賞金」Ars Technica、2019年1月14日。2020年11月7日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。
^ 「ゼロデイ攻撃の買い方：ハッカーの秘密のソフトウェアエクスプロイトの価格表」Forbes、2012年3月23日。2014年3月14日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。
^ ab 「ゼロデイセールは研究者にとって『公平』ではない」 The Register. 2007年6月3日. 2021年2月16日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

外部リンク

公式サイト

[nyt-1] “A Lively Market, Legal and Not, for Software Bugs”. The New York Times . 2007年1月30日. 2020年11月9日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[acquisition-2] 「トレンドマイクロ、HP TippingPointを3億ドルで買収へ」CRN、2015年10月21日。 2021年6月21日閲覧。

[secfocus-3] 「脆弱性報奨金制度のメリットをめぐりグループが議論」Security Focus、2006年4月5日。2021年2月2日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[wired-4] 「Zero Day Initiative、Firefox 3に初の脆弱性を発見」Wired 2008年6月19日. 2020年10月29日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[1thereg-5] 「Stuxnet Redux: Microsoft、5年間未公開だったWindowsの脆弱性を修正」The Register、2015年3月10日。2020年10月28日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[techtarget-6] 「なぜQuickTime for Windowsは突然サポート終了になったのか？」TechTarget。2020年12月2日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[1compweekly-7] “Stop the Flash madness - 5 bugs a week”. Computer Weekly. 2015年8月16日. 2020年11月8日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[adobe-8] 「Adobe AcrobatおよびReaderのセキュリティアップデートが利用可能」Adobe、2015年12月11日。2020年5月25日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[1blackhat-9] 「攻撃と防御による権限昇格への取り組み」Black Hat. 2020年11月19日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[1zdn-10] “Microsoft、HP研究者に12万5000ドルのバグ報奨金を授与”. ZD Net. 2015年2月5日. 2020年9月29日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[2zdn-11] “未修正のInternet Explorerの欠陥を突くエクスプロイトコードが公開される”. ZD Net. 2015年6月22日. 2020年11月8日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[2blackhat-12] 「サイレント緩和策の悪用 - Internet Explorerの弱点を理解する」Black Hat、2015年12月29日。 2020年10月21日閲覧。

[yt-13] “T302 VMware Escapology How to Houdini The Hypervisor AbdulAziz Hariri Joshua Smith”. Adrian Crenshaw. 2017年9月22日. 2021年2月16日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[3blackhat-14] “Black Hat USA 2013 - Java Every-Days: 30億台のデバイスで稼働するソフトウェアの活用”. Black Hat. 2013年12月3日. 2021年2月16日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[darkreading-15] 「研究者が攻撃を受けたOracle WebLogicの欠陥を分析」Dark Reading、2020年5月11日。2020年10月31日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[2compweekly-16] 「世界最大級のバグ報奨金プログラムの内幕」Computer Weekly、2018年7月9日。2020年9月20日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[arstech-17] 「Pwn2Ownコンテスト、このテスラを悪用したハッキングに90万ドルの賞金」Ars Technica、2019年1月14日。2020年11月7日時点のオリジナルよりアーカイブ。 2020年10月21日閲覧。

[forbes-18] 「ゼロデイ攻撃の買い方：ハッカーの秘密のソフトウェアエクスプロイトの価格表」Forbes、2012年3月23日。2014年3月14日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。

[2thereg-19] 「ゼロデイセールは研究者にとって『公平』ではない」 The Register. 2007年6月3日. 2021年2月16日時点のオリジナルよりアーカイブ。2020年10月21日閲覧。