今年のRECONには全部で24の講演があり、1講演あたりおよそ1時間程度であった。カンファレンス開始の冒頭に、主催者側からの挨拶があったあと、壇上に現れたのはTippingPoitの社員であった。そこで紹介があったのが「RECON Reversing Challenge」であった。TippingPointはZero Day Initiative(ZDI)というプログラムを展開しており、世界中の情報セキュリティ研究者が自らの発見した脆弱性を同社に提出し、それが認められると報奨金が支払われるという仕組みを提供している。このような報奨金プログラムは、ほかにiDefenceが2002年に開始したiDefense Vulnerability Contributor Program (VCP)がある。
RECON Reversing Challengeもこれらプログラムと同じく、会場で配布されたソフトウェアクラッシュを生じさせるファイルを検証し、それが脆弱性に転用できるかどうかを競うものであった。脆弱性に転用できるバグを特定できた場合には、バグ1個につき2,000ドルを支払うという説明があった。説明の後、会場が静まりかえっていたので、「おや、皆興味がないのかな?」と思ったが杞憂であった。基調講演の後、クラッシュを引き起こすファイルの配布場所には人だかりができていた。

折しも、このカンファレンスの後、Mozilla Security Bug Bounty Programが更新され、Mozilla製品の脆弱性には3,000ドルが支払われるという発表があった。未知の脆弱性の発見には報酬を - そうした風潮が情報セキュリティ業界では強まっていることを、このカンファレンスの会場でも強く感じることができた。

http://journal.mycom.co.jp/column/itsecurity/042/index.html