米国に拠点を置くZerodiumは、未知のゼロデイ脆弱性の情報を買い取り、それを企業やセキュリティ研究者などに提供することをビジネスモデルにしている。そのZerodiumが、Microsoft Outlookに関するリモートコード実行(RCE)のゼロデイ脆弱性の情報に対して、通常より15万ドル高い最大40万ドル(約4600万円)を支払うことを発表したと、SecurityAffairsが1月28日に伝えた。

ZerodiumによるOutlook RCEの買取り価格は、通常は最大25万ドルに設定されている。これに対し、2022年1月27日より買取り価格の上限が40万ドルに引き上がる。ただし、40万ドルの対象になるのは電子メールを受信/ダウンロードした際に自動的にリモートコードが実行される種類の脆弱性で、電子メールを読んだり、添付ファイルを開いたりといったユーザーの操作が必要なものはより低い買取り価格が設定されるという。この増額は一時的なものだが、終了日は本稿執筆時点では未定とされている。

詳細はZerodiumの次のページを参照のこと。

  • Zerodiumによる一時的な脆弱性買取り価格の増額

    Zerodiumによる一時的な脆弱性買取り価格の増額

Zerodiumは、その他にMozilla ThunderbirdにおけるRCE脆弱性の買取り価格も、2022年1月27日より通常より高い最大20万ドルを提示している。こちらも終了日は未定となっている。

買取り価格を増額した理由は明らかにされていないが、近年電子メールクライアントの脆弱性を悪用した攻撃による大規模な被害が相次いでおり、ゼロデイ脆弱性の早期発見に対する需要が高まっていることが推測される。