ドローンジャーナル

DJI、ソフトウェアの脆弱性を発見・報告する報奨型“Bug Bounty”プログラムを開始

脆弱性報奨プログラムにより、ソフトウェアのセキュリティを強化

 DJIは、2017年8月31日、ソフトウェアの脆弱性を発見し、情報提供したものに報奨金を支払うBug Bounty プログラム「The DJI Threat Identification Reward Program(脆弱性報奨プログラム)」を開始することを発表した。DJIのソフトウエアにとって脅威となるセキュリティの脆弱性をいちはやく発見、開示、修正するために、研究者や専門家と蜜に連携していくという。

 今回のDJI の脆弱性報奨プログラムの目的は、ユーザーの個人情報や写真、動画、飛行ログなどの個人データの保全にとって、脅威となる脆弱性を発見した研究者や専門家の見識を蓄積することだ。また、このプログラムでは、ジオフェンシングの制限や飛行高度制限、電源に関する警告など、アプリの強制終了や飛行上の安全に影響を及ぼす問題点を発見することも目的としている。

 セキュリティの脆弱性を発見し、研究者や専門家から情報提供があった際、その深刻度によって、100 ドルから 30,000 ドルの報奨金を情報提供者へ支払う。

 現在DJIは、プログラムの条件や応募フォーマット等を明記した、DJI のサーバー やアプリ、ハードウェアに関する脆弱性を報告するためのウェブサイトを作成している。脆弱性に関する報告は、本日から< bugbounty@dji.com >で受付を開始し、専門家によるレビューを開始する。

 更に、DJI は今後、新しいアプリを公開する前に、アプリの再レビューと評価を行う多段階式の内部承認方式を新たに採用することを決定。セキュリティを高め、信頼性、安定性をより確実なものにしていく。

 DJI の技術担当ディレクター Walter Stockwell は「DJIでは、各研究団体と協力し、専門家から寄せられる問題について、協力体制の実現と製品の改善を共通目的に取り組んでいきます。」と述べ、研究者や専門家からの情報を尊重していくことを約束している