Propagationは、あらゆるシステムの脆弱性情報を購入・販売できるマーケットプレイス「AnonyeX」のアルファ版を公開した。

AnonyeXを利用することで、セキュリティエンジニアやハッカーは発見した脆弱性情報を販売し、一方で企業や個人などのバイヤーは、彼らが出品した脆弱性情報を低コストで購入できるようになる。

背景には、脆弱性情報が「ダークウェブ」を通じて取引されている現状がある。(ダークウェブとは、匿名性を維持しながらサイトにアクセスできるネットワーク空間を指す。)

サーバー運営元の特定が難しく、検索エンジンで探し出すこともできないため、そこで取引される脆弱性情報は、システムの堅牢性や持続可能性に問題があると考えられる。

AnonyeXは、IEやChromeなど通常のブラウザでアクセスできる「サーフェイスウェブ」上に開かれた市場であり、これにより取引の健全化を図る。

同サービスの詳細は以下のとおりとなる。

■対象

  • 発見した脆弱性を出品することで収益を得たいセキュリティエンジニアやハッカー
  • 脆弱性情報に興味がある個人
  • システムの脆弱性を発見してほしい企業

■仕組み

AnonyeXでは、セキュリティエンジニアやハッカーが出品者となり、脆弱性情報を販売(出品)する。そして出品された脆弱性情報をバイヤーが購入する仕組みだ。

バイヤーには、クレジットカード、PayPal、暗号通貨(BTC,ETH,XMRなど全50通貨)などの決済手段がある。出品者の売上は、PayPalまたはStripeを通じて出金が可能だ。

■メリット

  • バイヤー(企業、個人など)
    企業は、AnonyeXを通すことでハッカーからダイレクトに脆弱性情報を購入できる。大手セキュリティベンダーに支払う多額の費用と比べ、コストを抑えられるのが利点だ。また、セキュリティ関連に関心を持つ個人の学習教材にもなる。
  • セラー(出品者、セキュリティエンジニアやハッカー)
    ハッカーやセキュリティエンジニアは、AnonyeXで脆弱性情報を販売することで自身のスキルが収益となる。また、セキュリティ業界での活動がパブリックに公開されるため世界規模でのキャリアアップに繋がる。

■構造

現在、AnonyeXはアルファ版として、オープンソースであるCMS(コンテンツ管理システム)で構築されている。CMSを採用した理由としては、顧客ニーズを迅速に把握する目的があったこと、最小限の時間でコストがかからないこと、常にバーションを更新することで堅牢性が維持できることが挙げられる。

ハッキング対策としてAdmin URL、パスワード、Brute Force attackを受けた際のロック、Firewall、reCaptchaなど設定しているが、将来的に、プライベートなソースコードへの移行が検討されている。

■取引されるカテゴリー例

  • Apple
  • Backdoors
  • Brute Force Attack
  • CGI
  • Database
  • DNS
  • Firewall
  • FTP
  • Hardware
  • Linux
  • Mail services
  • Proxy
  • RPC
  • TCP/IP
  • Web Application
  • Windows

など、随時追加予定とのことだ。

img:Propagation