DJIは、ソフトウェアの脆弱性を発見し、情報提供したユーザーに報奨金を支払うBug Bountyプログラム「The DJI Threat Identification Reward Program(脆弱性報奨プログラム)」を開始した。
- Advertisement -
同プログラムは、DJIのソフトウェアにとって脅威となるセキュリティの脆弱性を発見、開示し、修正することを目的に、研究者や専門家と連携していく。DJIの技術担当ディレクターWalter Stockwell氏は次のようにコメントしている。
Stockwell氏:セキュリティ研究者や学者、専門家の方々からは、定期的にDJIのアプリや、その他のソフトウェア製品のコードを分析して得た貴重な意見や情報を提供して頂いています。その結果、一般ユーザーへも広く注意喚起することができています。DJIでは、これからも専門家や研究者からの情報や意見を取り入れ、製品の改善を続けたいと考えています。そこで脆弱性やセキュリティ上の問題を発見し、情報提供頂いた方へ報奨金をお支払いするプログラムを開始しました。
脆弱性報奨プログラムは、ユーザーの個人情報や写真、動画、飛行ログなどの個人データの保全にとって、脅威となる脆弱性を発見した研究者や専門家の見識の蓄積と、ジオフェンシングの制限や飛行高度制限、電源に関する警告など、アプリの強制終了や飛行上の安全に影響を及ぼす問題点を発見を目的としている。
- Advertisement -
セキュリティの脆弱性を発見した際、その深刻度によって100ドルから30,000ドルの報奨金を情報提供者へ支払うとしている。現在、プログラムの条件や応募フォーマットなどを明記したDJIのサーバーやアプリ、ハードウェアに関する脆弱性を報告するためのWebサイトを作成しており、脆弱性に関する報告はbugbounty@dji.comで受付を開始し、専門家によるレビューを行う。
また、新しいアプリを公開する前にアプリの再レビューと評価を行う多段階式の内部承認方式を採用することで、セキュリティを高め、信頼性、安定性を確実にするとしている。DJIのソフトウェアに関する問題について、セキュリティ研究者向けの公式な情報共有の場がなかったため、研究者や専門家たちは、SNSやフォーラムを活用し議論していたという。
Stockwell氏:DJIは、各研究団体と協力し、専門家から寄せられる問題について、協力体制の実現と製品の改善を共通目的に、取り組んでいきます。また、DJIは、安定性と信頼性を備えたDJIの製品をユーザーに届ける、という我々の想いに賛同いただける研究者や専門家の方々からの情報を尊重します。
