Googleは2015年、同社製品の脆弱性を報告したセキュリティ研究者に200万ドル以上を支払った。そのうち20万ドルは6月以降に「Android」のバグを発見した研究者に向けられた。
Googleによると、同社は2010年にバグ報奨金プログラムを開始して以来、600万ドル以上の報奨金を研究者に支払ったという。このプログラムは、同社が「Google Chrome」、「Google.com」やYouTubeなどのオンラインサービス、Androidのセキュリティを確保するのに貢献している。
この報奨金プログラムは、競争の激しい脆弱性市場で、Googleがライバルより高額の報奨金を支払って、脆弱性を報告してもらうのに大きく寄与している。
Googleは2015年6月、同社の「Nexus」端末に影響を及ぼすAndroidのバグについて、脆弱性報奨金プログラムを導入した。それは、最初の「Stagefright」バグが発見される1カ月前という時宜を得たタイミングで行われた。このプログラムの開始により、Googleとサムスン、LGは主力Android端末向けに月例セキュリティアップデートを提供するようになった。
GoogleはChromeの報奨金の詳細を明らかにしているが、Androidについては、個々の研究者への月々の報奨金支払額を開示していない。
しかし、同社は6月にAndroidの脆弱性報奨金プログラムを開始して以来、20万ドル以上を支払ったことを明らかにした。これは、Googleが2015年に支払った総額200万ドルの報奨金の約10%に相当する。2014年の研究者への支払額は150万ドルだった。
同プログラムで1人の研究者に対するこれまでで最高の支払額は、3万7500ドルだ。
GoogleはAndroidのバグの報告とパッチについて最大8000ドルを支払い、一部のリモートエクスプロイトについては、さらに最大3万ドルを支払う。エクスプロイトをビジネスにして物議を醸しているZerodiumなど、脆弱性市場の競合他社はAndroidのリモート脱獄に対して最大10万ドルを提供している。
Androidに関する最初の報奨金は8月、研究者のWish Wu氏に支払われた。Googleは同月、最初の2件のStagefrightバグについて、パッチを公開している。
GoogleのセキュリティチームのEduardo Vela Nava氏は、「Androidは2015年に(報奨金制度の)Security Reward Programsに追加され、すぐに大きな影響を及ぼした」と述べた。
2015年のペースで行くと、GoogleのAndroidに関する年間報奨金支払額だけで、Microsoftの2013年以降の総支払額(2015年末時点で50万ドル)をすぐに上回るはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
