ボバ・フェットの職業が「賞金稼ぎ(バウンティハンター)」です。特注のアーマーや殺傷力の高い武器を駆使し寡黙な人物ですが、賞金稼ぎジャンゴ・フェットの遺伝子から作られたクローンでもあります。この賞金稼ぎ、映画の中だけの話かと思うかもしれませんが、今も現役の職業でもあります。
賞金稼ぎ(バウンティハンター)という職業がある
脆弱性を見つけて賞金稼ぎ
ところが被疑者が逃亡し裁判を受けなかった場合には、保釈金は返還されず業者側は大損となります。そこで登場するのが賞金稼ぎです。裁判から逃げた逃亡者を捕まえ、保釈金保証業者に引き渡すのが賞金稼ぎの業務です。
脆弱性報奨金制度(バグバウンティプログラム)がある
この職金稼ぎがセキュリティの世界にもあり、それが「脆弱性報奨金制度(バグバウンティプログラム)」です。プログラムは何百万もの命令から構成されています。人が作りますので必然的にミスがあり、これがバグになります。バグが出た場合は事象として不具合になりますので発見できバグを修正できますが、やっかいなのが脆弱性です。プログラムに脆弱性がひそんでいてもプログラム自身はちゃんと動いていますので、脆弱性があることが分かりません。攻撃側にとっては脆弱性が知られていない間は攻撃し放題ですから、わざわざ教えません。それどころか「ダークウェブ(Dark Web)」で取引されています。
ダークウェブとは
検索ではたどりつけないダークウェブ
サーフェイスウェブは氷山の一角で海から少し出ている部分だけです。氷山の大部分が海中にあるようにウェブでもダークウェブの方が圧倒的にたくさんあります。ダークウェブでは遺法性が高い情報や物品が取引されています。また、それ以外に、自由な議論ができない国があり、国民間で秘密裡に情報をやりとりする時にも使われています。
脆弱性報奨金制度とは
プログラムにひそむ脆弱性を見つけるために生まれたのが「脆弱性報奨金制度(バグバウンティプログラム)」です。ホワイトハッカーにプログラムの脆弱性を見つけてもらい報奨金を支払う制度です。ホワイトハッカーとはセキュリティ技術に精通したエンジニアのことで、もともとハッカーという言葉が使われていました。ところがハッカーという言葉にサイバー攻撃の攻撃者イメージがあるためホワイトハッカーという言い方をしています。攻撃者は「ブラックハッカー」「クラッカー」と呼んで区別しています。
脆弱性報奨金制度の初期の頃は牧歌的な時代で、ネットスケープ社では脆弱性の報告があるとロゴ入りマグカップとTシャツのノベルティを贈呈していました。これがどんどん高額化します。もちろん脆弱性の深刻度が高いほど報奨金の金額も大きくなります。
脆弱性発見で一攫千金
Google(グーグル)では1件のバグに対して500ドル~1万5000ドルの報奨金を支払っています。2019年には総額で650万ドル(約7億円)を支払い、最高額は20万ドル(約2200万円)でした。マイクロソフトのWindws10では重点分野に関しては5000ドル~25万ドルで募集しています。日本の企業も脆弱性報奨金制度を取り入れておりサイボウズでは上限100万円で脆弱性情報を募集しています。自前で脆弱性をチェックしようと思うと企業で人材を雇い、育成すると多額な費用がかかります。「三人寄れば文殊の知恵」ではありませんが、外部のたくさんの人に脆弱性を見つけてもらった方が結果的に安上がりになる面もあります。また脆弱性情報を高く買い取りしてくれるのであればダークウェブで販売するというインセンティブがなくなり、攻撃を減らす効果もあります。
多くの企業ではサーバーに「IPS(不正侵入防止システム)」を導入しています。脆弱性情報を買い取る企業のなかにはIPSメーカーもいます。他に知られていない脆弱性情報が分かり、最初に対応できれば競合他社の商品に対して差別化できます。結果的に一般への脆弱性周知が遅れる面もあり、賞金稼ぎの世界はやはりシビアです。
トレジャーハンターだったポール・アレン
マイクロソフト創業者といえばビル・ゲイツが有名ですが共同で事業を立ち上げたのがポール・アレンです。ポール・アレンは2018年に亡くなりましたが、ビル・ゲイツとともにマイクロソフトを発展させ、大資産家となります。マイクロソフトを辞めた後、資産をもとに多彩な活動をしていましたが、その一つが戦没した戦艦の深海調査です。父親が太平洋戦争に従軍していたことから沈没した戦艦に興味があったようです。こちらはリアルなお宝を探すトレジャーハンターですが、戦艦「武蔵」の発見は日本でも大きく報道されました。
