英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンス、 The Registerの記事、 HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。

すべて読む | セキュリティセクション | 軍事 | 英国 | セキュリティ | 政府 |

関連ストーリー：
米国務省、米国内のあらゆる選挙への介入を試みるハッカーの情報提供に最大1000万ドル報奨金の提供 2020年08月13日
ソニー、PS4向けのバグバウンティを開始。5万ドルの報酬金を用意 2020年06月30日
Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 2019年09月03日
ロンドン警視庁のWebサイトや公式Twitterアカウントに偽プレスリリースなどが投稿される 2019年07月21日
英国の最新型空母 HMS Queen ElizabethでもWindows XPが発見される 2017年06月29日
任天堂、3DSのバグ発見者に対し報奨金を支払うプログラムを開始 2016年12月21日
米国防総省の懸賞金付きバグ探しプログラム「Hack the Pentagon」、成功を受けて拡大へ 2016年06月23日
英国政府、スパイにハッキングのライセンスを与える法案 2015年10月24日
五輪のセキュリティ対策をボランティアでやってくれるエンジニアが不足中 2015年10月12日
警察庁、報奨金制度の改正とPC遠隔操作事件の対象への指定を決定 2012年12月06日