2018年3月13日

Kaspersky Lab、脆弱性情報に報奨金を支払う「Kaspersky Bug Bounty Program」の報奨金の上限を10万ドルに増額

2016年より実施しているバグ報奨金プログラムを強化し、カスペルスキー主要製品の重大な脆弱性情報に対する報奨金を最高10万ドルに増額します。報奨金の増額は現行の20倍になり、製品の完全性の確保と、お客様を保護するという当社のコミットメントを証明しています。

~当社の透明性への取り組み「Global Transparency Initiative」の一環として、脆弱性の特定と軽減の取り組みを補完~

[本リリースは、2018年3月6日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labは、当社の透明性への取り組み「Global Transparency Initiative」の一環として、2016年より実施しているバグ報奨金プログラム「Kaspersky Bug Bounty Program」を強化し、カスペルスキー主要製品の重大な脆弱性情報に対する報奨金を最高10万ドルに増額します。このバグ報奨金プログラムへの参加資格は、Kaspersky Bug Bounty Programのパートナーであり、バグ報奨金プラットフォームの提供において業界を代表するHackerOneのすべてのメンバーに与えられます。報奨金の増額は現行の20倍になり、製品の完全性の確保と、お客様を保護するという当社のコミットメントを証明しています。

最高報奨金10万ドルの対象となるのは、製品データベース更新チャネルから遠隔でのコード実行が可能で、ユーザーに気づかれないように製品の上位権限を奪い、システムの再起動にも影響を受けないマルウェアの実行ができるバグの発見です。遠隔でのコード実行に関連するその他の脆弱性には、5,000~2万ドルの報奨金を支払います。(報告された脆弱性の複雑さによって報奨金の金額は異なります)。ローカル権限昇格や、極秘データの開示につながるバグにも、報奨金が支払われます。

報奨金の対象は、以下のカスペルスキー製品における未知の脆弱性の発見です。

・Kaspersky Internet Security 2019 (最新ベータ版)

・Kaspersky Endpoint Security 11 (最新ベータ版)

※各製品は、Windows8.1以上の環境で、最新版がインストールされている必要があります。

参加条件および資格に関する詳細については、こちらをご確認ください。

バグ報奨金の増額について、Kaspersky Lab 最高経営責任者(CEO)ユージン・カスペルスキー(Eugene Kaspersky)は次のように述べています。

「バグの発見と修正は、ソフトウェア企業である当社にとって最も重要です。カスペルスキー製品のあらゆる脆弱性をなくすため、セキュリティリサーチャーの皆様に本プログラムへの参加をお願いしています。私たちがお客様に提供しているコードの耐性と最高レベルの保護機能は、当社ビジネスの基本原則であり、このGlobal Transparency Initiativeの根幹でもあります」

Kaspersky Labが2016年に開始したバグ報奨金プログラムは、脆弱性の検知と軽減を目的とした当社の取り組みを補完するために、外部のセキュリティリサーチャーによる協力を奨励するものです。本プログラムでは、カスペルスキーの製品およびサービスに関するバグがすでに70 件以上報告されており、このような脆弱性を解決することで、さらなる安全性を確保しています。

2017年10月23日に発表したGlobal Transparency Initiativeでは、情報セキュリティ業界およびその他の関係者とこれまで以上に幅広く連携し、当社の製品、内部プロセス、事業運営における信頼性の検証と実証を図るとともに、説明責任に関する新たな仕組みを導入することで、当社があらゆるセキュリティ上の問題に迅速かつ徹底的に対処していることを証明しています。

Kaspersky Labの透明性の原則については、こちらをご覧ください。