VPNクライアントの脆弱性を買いたいZerodium

Zerodiumをご存じでしょうか。
いわゆる脆弱性ブローカーです。

類似のものにバグバウンティプログラムやZDI(Zero Day Initiative)というものがあるように感じますが、根本的に異なります。
バグバウンティプログラムやZDIで収集された情報は、最終的にはその情報が原因となっているソフトウェアの製造元などに連絡され、それが改修され、パッチ公開と情報公開が実施されます。
脆弱性ブローカーの活動は異なります。
情報は公になること無く転売され、転売された情報は法執行機関や諜報機関が活動するために使われると考えられています。

脆弱性情報の入手後の動きに大きな違いがあるこれらの活動ですが、違いがあるのは脆弱性情報の入手後の動きだけではありません。
脆弱性を連絡した人への報奨金の額が大きく異なります。
もちろん、その対象の脆弱性の内容によって金額は変化するのですが、最大金額で比較すると驚きます。
バグバウンティプログラムやZDIなどの報奨金の最高額は、たとえば5000ドルくらいの場合が多いです。
それに対し、脆弱性ブローカーであるZerodiumの報奨金の最高額はなんと150万ドルなのです。

情報提供後の活動が異なりますので、報告側の人はその考え方によって、報告先を選ぶということもあると思います。
しかしあまりにも報奨金額の違いが大きいです。
どうしても脆弱性ブローカーのほうに情報が流れやすくなるように思われます。

ことの善悪は立場が違えば変化するようなこともあるかもしれませんので、情報が脆弱性ブローカーに集まりやすいことが良いことなのか良くないことなのかについて論じることは簡単ではありません。

しかし、こういった状況にある脆弱性ブローカーは、いま、各種VPNクライアントの脆弱性情報を買い取るという情報を公開しています。
わたしたち防御側としては、こういった情報を確認した際にはそのジャンルへこれまで以上に注意をはらい、タイムリーに更新を行うなどの正しい運用の維持に努めていけるとよいかもしれません。

参考記事(外部リンク):Zerodium is looking for zero-day exploits in ExpressVPN,
NordVPN, and Surfshark Windows VPN clients

securityaffairs.co/wordpress/123581/hacking/zerodium-expressvpn-nordvpn-surfshark.html