DJI、ソフトウェア脆弱性の発見・報告者に最大3万ドル支払う報奨型プログラム

　DJIは、ドローン飛行用ソフトウェアなどの脆弱性を発見し、報告した情報提供者に最大30,000ドルの報奨金を支払う“Bug Bounty”プログラム「The DJI Threat Identification Reward Program(脆弱性報奨プログラム)」を開始した。飛行に影響を及ぼす問題点の発見などを目的としている。

DJI Phantom 4

　ユーザーの個人情報、写真、動画、飛行ログなどの個人データの保全にとって脅威となるセキュリティの脆弱性の発見、ジオフェンシングの制限や飛行高度制限、電源に関する警告など、アプリの強制終了や飛行上の安全に影響を及ぼす問題点の発見を目的としている。

　従来はDJIのソフトウェアに関する問題をセキュリティ研究者向けに公式に情報共有する場が無く、研究者らはSNSやフォーラムを活用して議論していたという。今回の脆弱性報奨プログラムの情報提供者には、脆弱性の深刻度に応じて100〜30,000ドルの報奨金を支払う。

　現在、プログラムの条件や応募フォーマットなどを明記した脆弱性報告用Webサイトを作成中。31日から専用メールアドレスでの報告受け付けと専門家によるレビューも開始した。

　また、今後アプリの公開前に再レビューと評価を行なう、多段階式の内部承認方式を採用。セキュリティを高め、信頼性、安定性をより確実にするとしている。