DJIがソフトウェアの脆弱性発見に報奨金を出すプログラム開始...報告者に最大3万ドル

ロボティア編集部2017年8月31日(木曜日)

 ドローンメーカー世界最大手・ DJIが、ソフトウェアの脆弱性を発見し情報提供した人々に報奨金を支払う脆弱性報奨プログラム「The DJI Threat Identification Reward Program」を開始した。DJIは、ソフトウェアの脅威となるセキュリティの脆弱性を発見・開示・修正することを目的に、研究者や専門家と密に連携するとしている。DJI の技術担当ディレクターWalter Stockwell氏は、以下のように述べてる。

「セキュリティ研究者や学者、専門家の方々からは、定期的に、DJI のアプリやその他のソフトウェア製品のコードを分析して得た貴重な意見や情報を提供して頂いています。その結果、一般ユーザーへも広く注意喚起することができています。DJI では、これからも、専門家や研究者からの情報や意見を取り入れ、製品の改善を続けたいと考えています。そこで、脆弱性やセキュリティ上の問題を発見し、情報提供頂いた方へ報奨金をお支払いするプログラムを開始しました」

 同脆弱性報奨プログラムの目的は、ユーザーの個人情報や写真、動画、飛行ログなどの個人デー タの保全にとって、脅威となる脆弱性を発見した研究者や専門家の見識を蓄積することにある。また、このプログラムでは、ジオフェンシングの制限や飛行高度制限、電源に関する警告など、アプリの強制終了や飛行上の安全に影響を及ぼす問題点を発見することも目的に置いている。

 セキュリティの脆弱性を発見した場合、その深刻度によって、100 ドルから 30000 ドルの報奨金が情報提供者に支払われる。現在、プログラムの条件や応募フォーマット等を明記した、DJI のサーバーやアプリ、ハードウェアに関する脆弱性を報告するためのウェブサイトを作成中とのこと。脆弱性に関する報告は、8月31日より受付開始され専門家によるレビューも同時に始まる。

 これまでは、DJI のソフトウェアに関する問題について、セキュリティ研究者向けの公式な情報共有の場がなかったため、多くの研究者や専門家たちはSNS やフォーラムを活用し議論してきた。ただし今後は、各研究団体と協力し、専門家から寄せられる問題について、協力体制の実現と製品の改善を共通目的に取り組んでいく。Stockwell氏 はまた「DJI は、安定性と信頼性を備えた DJI の製品をユーザーに届けるという我々の想いに賛同いただける研究者や専門家の方々からの情報を尊重します」とコメントしている。

Photo by DJI HP