バグハントがこれほど儲かるというのは、これまでになかったことかもしれない。Googleは、同社が展開する膨大な製品やサービスに脆弱性を発見した研究者への報奨金として、2019年に過去最高の650万ドル(約7億円)を支払ったことを明らかにした。これまで支払ってきた年額の2倍となる。
Googleの「Vulnerability Reward Program」(VRP)は10年ほど前に始まった。脆弱性を発見し、「責任を持って」報告することで、Googleが修正できるよう協力したエキスパートらに報奨金を提供している。起こりうるセキュリティ侵害について、発生前に把握することが目的だ。
Googleは、「2019年は研究者のおかげで、さらなる記録的な年となった」とし、「研究者が問題を発見することで、ユーザーそしてインターネット全体の安全性を維持することにつながっている。2020年以降もさらなる協力に期待している」と述べた。
2010年以来、Googleは脆弱性発見に対する報奨金として2100万ドル(約23億円)超を支払ってきた。2019年には461人がVRPで報奨金を受け取った。最高額を勝ち取ったのは、Alpha LabのGuang Gong氏だ。同氏は、クリック1回でリモートからコードを実行できるエクスプロイトチェーンを「Pixel 3」で発見し、20万1337ドル(約2200万円)を手に入れた。
GoogleはVRPで、「Chrome」「Chrome OS」「Android」「Google Play」などのサービスを対象とするさまざまなサブプログラムを運営している。
特に「Android Security Rewards」は2019年、大幅に強化された。Googleは、セキュリティチップ「Titan M」にも影響するOSの脆弱性を発見した研究者に対する報奨金の最高額を100万ドルに引き上げた。Titan Mは「Pixel 3」や「Pixel 4」に搭載されている。さらに、出荷前に特定のプレビュー版「Android」に脆弱性が見つかれば追加で50万ドルが支払われる。
Googleは2019年、ChromeやChrome OSで発見された脆弱性に対する報奨金も引き上げたが、それほどの額ではない。「Chrome Vulnerability Reward Program」で研究者が受け取れる最高額は「わずか」3万ドル(約330万円)だ。
「Google Play Security Reward Program」は同年、「Google Play」ストアで扱っているAndroidアプリのうち、インストール件数が1億を超えるアプリすべてに対象が拡大された。8本の人気アプリだけが対象だった最初の条件と比べてよくなっている。Googleはサードパーティー製アプリの脆弱性を発見した研究者に報奨金を支払うことにより、Androidのエコシステム全体の安全性を向上させようとしているのだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。