WSLabi が脆弱性を売買するサイトを開設

スイスの新興会社 WabiSabiLabi (WSLabi) は3日、『Windows』や『Linux』など、アプリケーションやオペレーティング システムで発見したセキュリティ上の欠陥を売買できるサービスを開始した。同社のポータルサイトでは、セキュリティ研究者、セキュリティ会社、ソフトウェア企業がオープンな市場の中でやりとりを行ない、研究者は自分の発見事項に対する正当な対価を得ることができるという。

WSLabi によれば、同社のサイトは、アプリケーションやオペレーティング システムで見つかり、その内容が検証された脆弱性を販売するものだという。インターネットの闇にまぎれて脆弱性を売買する違法サイトとは異なり、オープンな形で販売を行なうことを約束している。

WSLabi は自社を「中立的で、ベンダーに依存しないスイスの研究所」と謳っている。同社サイトに出品される脆弱性については、すべてその内容を確認してから、オークションの実施を許可するという。

WSLabi には現在、『Yahoo! Messenger』の脆弱性や、Linux カーネルのメモリリークなど、4件の脆弱性が出品されている。Linux の脆弱性には、入札者1名が600ユーロの値を付けている。Yahoo! Messenger の脆弱性については開始価格が2000ユーロで、まだ入札者はいない。

WSLabi の CEO (最高経営責任者) Herman Zampariolo 氏は、声明の中で次のように述べている。「脆弱性を発見する研究者は大勢いるが、それが悪用されるおそれから、発見した脆弱性を適切な担当者に報告できる人、あるいは進んで報告する人はほとんどいない。このような理由からわれわれは、そうしたセキュリティ上の発見事項を売買するためのポータルサイトの開設を決意した」

WSLabi の推定によれば、2006年に公開され、研究者が解析した脆弱性の数は7000件そこそこだが、コード内で発見される新たな脆弱性の数は、年間13万9362件にのぼる可能性があるという。ただし、この具体的な数字の出所について、WSLabi は明らかにしていない。

「当社の狙いは、WSLabi の売買市場機能により、セキュリティ研究者が発見事項の正当な対価を得られるようにし、彼らがそれらを無報酬で公開したり、サイバー犯罪者に販売せざるを得ないといった状況をなくすことにある」と、Zampariolo 氏は声明の中で述べている。

WSLabi によれば、研究者と買い手は、売買の前に WSLabi に身元を明かし、本人であることを証明する必要があるという。違法な情報源や活動により入手した脆弱性は出品できない。また、脆弱性が不適切な人物の手に渡るリスクを最小限に抑えるため、オークション プラットフォームへのアクセスを許可する前に、買い手の身元は綿密に調査するという。