Googleは米国時間2月4日、同社の製品に存在する脆弱性を発見したセキュリティ研究者への報奨金として、2020年に670万ドル(約7億600万円)以上を支払ったことを明らかにした。報奨金を受け取った研究者は62カ国にわたっており、その数は662人に上っている。
提供:Google
報奨金の総額は2019年の650万ドルから増加し、過去最高を記録したという。
2020年の報奨金の多くは「Google Chrome」を対象とするバグ報奨金プログラム「Chrome Vulnerability Reward Program(VRP)」で支払われていた。同社の旗艦ブラウザーに存在していた300のバグを対象に総額210万ドル(約2億2100万円)以上が支払われた。
また、「Android」を対象とする「Android VRP」で支払われた報奨金の額も多かった。「Android OS」のコードに潜むバグに対して174万ドル(約1億8300万円)が支払われた。さらに、「Google Play」ストアで人気が高く、広く普及しているAndroidアプリのバグを対象とする「Google Play VRP」では27万ドル(約2800万円)が支払われた。
以下は、Googleが挙げた2020年のAndroid VRPの注目点のいくつかだ。
- 初の「Android 11」開発者プレビュー版のボーナスとして、11件の報告に対して総額5万ドル(約500万円)以上を支払った。これにより、Android 11の正式リリースに先立ってプロアクティブに問題を解決できた。
- 奇虎360(Qihoo 360)におけるAlpha LabのGuang Gong氏(@oldfresher)と同氏のチームは、(過去に報告された全件数の30%に相当する)8件という最多のエクスプロイトを報告し、脆弱性発見レースのトップを走っている。Alpha Labの直近の報告は、最近のAndroidデバイスを標的にする、1クリックで遠隔地からルート権限を奪取できるという驚くべきものだった。このチームは2019年におけるAndroidのエクスプロイトに対する報奨金額でもトップを飾った(その額は16万1337ドルであり、これとは別にChrome VRPからも4万ドルを受け取っている)。
- また別の研究者は、さらに2件のエクスプロイトを報告し、通算でトップの座を争っている。このリサーチャーはエクスプロイトの発見で今までに40万ドル(約4200万円)という驚くべき報奨金額を手にしている。
- われわれは、「Android Auto OS」、Androidコード向けファザーの作成、Androidチップセットの報奨プログラムなど、セキュリティ研究者にさらなる分野への興味を抱いてもらえるよう、複数の報奨金プログラムをパイロットとして立ち上げた。
さらにGoogleは、セキュリティ研究の革新的な分野に資金を提供するためのリサーチ助成プログラムからセキュリティ研究者に40万ドル(約4200万円)を提供したとしている。
報奨金のほか、180人以上のセキュリティ研究者が2020年に助成金を受け取った。200件の脆弱性の報告が返され、Googleの製品やオープンソースエコシステムで100件以上の脆弱性が確認される結果となった。
2021年は、 Google VRPの10周年となる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
