Googleは米国時間9月13日、「Project Zero Prize」というコンテストを開始すると発表した。「Android」に実際に存在する危険性の高い脆弱性が攻撃者に悪用される前に、深刻な脆弱性を発見し、潰す方法を探ることが目的だ。
Project Zeroのセキュリティ研究者であるNatalie Silvanovich氏は、Googleのセキュリティチームが絶えずバグを発見しているにもかかわらず、「多くの固有で高度なセキュリティ上のバグがハッキングコンテストの結果として見つかっている」と述べた。
Project Zero Prizeコンテストの狙いは、端末の電話番号と電子メールアドレスを知っているだけで、複数のAndroid搭載端末でリモートコードの実行を可能にする脆弱性などを見つけることだ。
コンテストの期間中に、「Nexus 5X」および「Nexus 6P」端末上で「Android Nougat」のいずれかのバージョンを標的にすることに成功したエクスプロイトであれば、コンテストにエントリー資格がある。
賞金は何種類か用意されており、優勝が20万ドル、2位は10万ドル、3位は5万ドル以上となっている。
Googleは、参加者が発見したバグを最後まで手元に置いておくのではなく、バグを発見したら「Android issue tracker」で報告するよう求めている。報告するバグは必ずしも完全な脆弱性のチェーンでなくてもよい。Project Zero Prizeの期間中のこうしたエントリーは、コンテストへの提出の一部として扱われる。コンテストの期間は6カ月だ。
入賞した脆弱性やエクスプロイトは、公に発表される予定になっている。
提供:NopSec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。