グーグルのバグ報奨金プログラム、2019年の支払額は過去最高の650万ドル

Daphne Leprince-Ringuet (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-01-30 13:35

 バグハントがこれほど儲かるというのは、これまでになかったことかもしれない。Googleは、同社が展開する膨大な製品やサービスに脆弱性を発見した研究者への報奨金として、2019年に過去最高の650万ドル(約7億円)を支払ったことを明らかにした。これまで支払ってきた年額の2倍となる。

 Googleの「Vulnerability Reward Program」(VRP)は10年ほど前に始まった。脆弱性を発見し、「責任を持って」報告することで、Googleが修正できるよう協力したエキスパートらに報奨金を提供している。起こりうるセキュリティ侵害について、発生前に把握することが目的だ。

 Googleは、「2019年は研究者のおかげで、さらなる記録的な年となった」とし、「研究者が問題を発見することで、ユーザーそしてインターネット全体の安全性を維持することにつながっている。2020年以降もさらなる協力に期待している」と述べた。

 2010年以来、Googleは脆弱性発見に対する報奨金として2100万ドル(約23億円)超を支払ってきた。2019年には461人がVRPで報奨金を受け取った。最高額を勝ち取ったのは、Alpha LabのGuang Gong氏だ。同氏は、クリック1回でリモートからコードを実行できるエクスプロイトチェーンを「Pixel 3」で発見し、20万1337ドル(約2200万円)を手に入れた。

 GoogleはVRPで、「Chrome」「Chrome OS」「Android」「Google Play」などのサービスを対象とするさまざまなサブプログラムを運営している。

 特に「Android Security Rewards」は2019年、大幅に強化された。Googleは、セキュリティチップ「Titan M」にも影響するOSの脆弱性を発見した研究者に対する報奨金の最高額を100万ドルに引き上げた。Titan Mは「Pixel 3」や「Pixel 4」に搭載されている。さらに、出荷前に特定のプレビュー版「Android」に脆弱性が見つかれば追加で50万ドルが支払われる。

 Googleは2019年、ChromeやChrome OSで発見された脆弱性に対する報奨金も引き上げたが、それほどの額ではない。「Chrome Vulnerability Reward Program」で研究者が受け取れる最高額は「わずか」3万ドル(約330万円)だ。

 「Google Play Security Reward Program」は同年、「Google Play」ストアで扱っているAndroidアプリのうち、インストール件数が1億を超えるアプリすべてに対象が拡大された。8本の人気アプリだけが対象だった最初の条件と比べてよくなっている。Googleはサードパーティー製アプリの脆弱性を発見した研究者に報奨金を支払うことにより、Androidのエコシステム全体の安全性を向上させようとしているのだろう。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]