脆弱性発見のための報償金制度
暗号資産(仮想通貨)カルダノ(ADA)を運営・管理するカルダノ財団は、セキュリティプラットフォームHackerOneと提携し、初のバグ・バウンティプログラム(バグ報償金制度)を開始すると発表した。
📣 Calling all Hackers 📣
— Cardano Foundation (@CardanoStiftung) August 26, 2021
In another first from the Cardano Foundation team, we've joined forces with @Hacker0x01 to launch Cardano’s first Bug Bounty program. #Cardano #BlockchainNews #CardanoCommunity #HappyHacking #CryptoNewshttps://t.co/10Fp3omWwW
「全ハッカー召集! カルダノ財団チームによる、もう一つの新たな試みとして、@Hacker0x01と協力し、カルダノ初のバグ・バウンティプログラムを立ち上げる」
ハッキングとは
ハッキングとは、コンピュータやネットワークに精通する者がシステムの改良・構築を行うこと。ネットワークへの不正アクセスや攻撃という意味もある。ハッキング行為を行う者をハッカーと呼ぶ。
▶️仮想通貨用語集
米サンフランシスコに本拠を置くHackerOneは、ハッカーと、サイバーセキュリティの脆弱性の検証を望む企業を結びつけるプラットフォームで、脆弱性の発見に対し懸賞金を提供するプログラムを運営。これまで、米国防総省をはじめ、ツイッター、グーグル、ソニー等の著名機関・企業が同社のサービスを利用してきた。
カルダノ財団のJeremy Firsterプロジェクトマネージャーは、「大規模で倫理的なハッカーコミュニティ」との連携、2,400以上の顧客へのサービス提供実績、また23万件以上の有効な報告書提出などの点において、HackerOneはカルダノのパートナーにふさわしいと述べた。
カルダノは9月12日に、スマートコントラクト機能を導入する大型アップグレード「アロンゾ(ALONZO)」の実装を予定しており、現在、最終的なテスト段階に入っている。
脆弱性の早期発見
HackerOneのアカウントマネージャー、Tor Abrams氏は、セキュリティの脆弱性と無縁の組織はないため、サイバー犯罪者に悪用される前に脆弱性を発見し修正することが「唯一の解決策」であると主張している。
同氏によると、HackerOneは「地球上最大のハッカーコミュニティ」へのアクセスを提供し、脆弱性の傾向や業界基準に関する最大のデータベースを備えているという。
同社は、ホワイトハッカーによる脆弱性の発見後、優先的に対処すべき点を明らかにするトリアージサービスや修正後の再テストサービスを提供することで、顧客のサイバーリスクの軽減に貢献する。
カルダノの報償金プログラム
HackerOneとの提携は、カルダノが「最大のソフトウェア耐久度テストを受け、最も念入りに維持されるブロックチェーン」となることを助けるとともに、サイバーセキュリティに真剣に取り組んでいる姿勢を示すことになると、カルダノ財団のFirster氏は述べた。
この度のバグ報償金プログラムで対象範囲となるのは、ノードとウォレットのバックエンドで、ユーザーインターフェイスや一般的な機能に関しては除外されるという。
対象となるバグの種類:
- 機密情報の漏洩(ウォレットやステーキングのプライベートキーなど、パブリックキーは除外)
- トランザクションの改竄(受信者のアドレスや金額の変更)
- トランザクションの再現(ダブルスペンド)
- サービスのクラッシュを引き起こすバグ(非ネットワーク基盤のDoS)
- リモートのコード実行の脆弱性(概念実証が必要)
- ブロックチェーンやリンクした/隣接するノードの質に害を及ぼす攻撃
- 非ネットーワーク帯域幅フラッディングの有効なDDoS攻撃(トランザクションハンマリングなど)
- ワームの侵入を許す脆弱性
HackerOneは、ネットワークへの危険性によってバグを四つのレベル(低、中、高、重大)に分け、対応した報償金額を提示。カルダノのノードに関するバグは、それぞれ400ドル、2,000ドル、5,000ドル、10,000ドルで、ウォレットでは300ドル、1,000ドル、3,000ドル、7,500ドルに設定されている。
現在時価総額ランキング3位となったカルダノだが、8月25日、仮想通貨取引所ビットポイントジャパンが、国内で初めてカルダノネットワークの基軸通貨ADAの取り扱いを開始した。
