9日から米空軍が「Hack the Air Force 2」を開始し、善良なハッカーに米空軍の秘密情報を含まないネットワークを攻撃してもらって脆弱性を指摘してもらっています。
ネット脆弱性を指摘する「HackerOne」組織に運営を依頼し、主要同盟国(日本は除外)のハッカーたちに、2018年1月1日まで行われるようです。
この種の脆弱性チェックイベントでは、カーター前国防長官が主導した「Hack the Pentagon」をかつてご紹介しましたが、米空軍の今回の取り組みは運営者が「最もオープンな脆弱性指摘イベント」と自負する規模の様です。
「Hack the Air Force 2」開始の12月9日には、約9時間のオープニングイベントが公開で行われ、この分野で著名なハッカーが成果報酬110万円以上のバグを発見するなど、18日までの段階で55個のバグ発見に成果報酬約300万円が既に支払われているようです
18日付米空軍協会web記事によれば
●同僚と共に成果報酬110万円以上のバグを発見した善良ハッカーBrett Buerhaus氏は、18日に自らのツイッターで「信じられない体験だった。他の参加者がどんなバグを見つけたのか興味津々だ」と発信している
●9日の開幕イベントには、7名の米空軍兵士のほか、一般の善良ハッカー25名(国籍はUS, Canada, the UK, Sweden, Netherlands, Belgium, and Latvia)が参加した
●23日間にわたって行われるこの取り組みは、「Five Eyes nations」と呼ばれる緊密な同盟国、つまり米英加豪NZに加え、NATO諸国とスウェーデンの市民が参加を申し込むことができる。8月の第一回目は「Five Eyes nations」だけだったが、枠を広げた
●9日の開幕イベントの時もそうだったが、ハッカーから申告されたバグや脆弱性を直ちに分析して修復するチームが控えており、9日のうちに全ての不具合は修正完了している
●米空軍のサイバー戦を担当する第24空軍副参謀長は、「脆弱性はすぐにハッカーたちの間で共有されることが多く、迅速な措置が欠かせない」と語っている
///////////////////////////////////////////////////
先日、日本の公官庁のネットワークの8割は暗号化されておらず、ハッカー天国だと報道があり、主要な民間企業との意識の差が浮き彫りになりましたが、蒸気イベントを運営した「HackerOne」のような組織にハックしてもらって、危機感をあおるのも良い手かもしれません
誰が依頼してやるのか・・・総務省あたりがこっそりやって・・・見たいなことを妄想していました。
この取り組みは低コストで脆弱性を発見する手法として急速に拡大しており、是非とも日本でも活用したいものです。もうやってるところあるのかな?
同種の国防省取り組み
「発展版Hack the Pentagon」→http://holyland.blog.so-net.ne.jp/2017-02-16
「第1弾成果発表」→http://holyland.blog.so-net.ne.jp/2016-06-20-1
「計画発表」→http://holyland.blog.so-net.ne.jp/2016-03-04-1