編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

1億インストール以上のAndroidアプリがバグ発見報奨金の対象に

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-08-30 10:52

 Googleは米国時間8月29日、同社のバグ発見報奨金プログムを拡大し、「Google Play」ストアで提供されている、インストール数が1億以上の「Android」アプリを対象に加えた。

 今後は、セキュリティ研究者がこれらのアプリの脆弱性をGoogleに報告した場合、有効なバグ報告にはGoogleから報奨金が支払われることを意味している。

 Google Playストアで提供されているインストール数が1億以上のすべてのAndroidアプリは自動的に対象となり、開発会社が登録などの作業をする必要はない。

 Googleは「HackerOne」プラットフォームの「Google Play Security Reward Program(GPSRP)」を通じてすべてのバグ報告に対する初期対応を行い、その後脆弱性に関する情報を開発会社に伝える。アプリの脆弱性が修正されない場合、Googleはそれらのアプリをストアから削除する。

 FacebookやMicrosoft、Twitterなどの、自前のバグ発見報奨金プログラムを持っている開発会社のアプリも、GPSRPの対象となる。

Googleは最近アプリのバグ報告に対する報奨金を引き上げていた

 GPSRPがスタートしたのは2017年のことだ。最初の3年間は、遠隔からコードを実行可能な脆弱性に対しては最大5000ドル(約53万円)、個人情報の窃盗が可能な脆弱性や、アプリの保護されているコンポーネントにアクセス可能な脆弱性に対しては、最大1000ドル(約11万円)の報奨金が支払われていた。

 Googleは以前から、社外のアプリもこのプログラムの対象にしていたが、この仕組みが利用されることはあまりなく、セキュリティ研究者はGoogleのほかのバグ発見報奨金プログラムに力を注ぐ傾向があった。これまでにGPSRPで支払われた報奨金は26万5000ドル(約2800万円)にすぎないが、同社のほかのバグ発見報奨金プログラムでは数億ドルが支払われている。

 同社は7月に、プログラムへの参加を促すために、遠隔からコードを実行可能な脆弱性に対する報奨金を最大2万ドル(約210万円)に、またほかの2つに対する報奨金を最大3000ドル(約32万円)に引き上げた

 さらに、当初は人気の高いアプリのごく一部(Googleが人間の判断で選んだもの)だけがGPSRPの対象となっていたが、8月29日以降は、1億回以上ダウンロードされたすべてのAndroid用のアプリやゲームが自動的に対象となる。これによって、Google Playストアのバグ発見報奨金プログラムの魅力はさらに大きくなるとみられる。

Googleはこれまでもバグ報告の情報を活用していた

 この仕組みは一見、Googleがサードパーティーアプリのバグ発見に対して自腹を切って報奨金を出しているように見えるが、同社はこれには具体的なメリットが存在すると述べている。

 同社によれば、これまでの3年間でGPSRPを通じて受け取った脆弱性に関する報告は無駄にはなっていないという。すべての報告はカタログ化されてシステムに組み込まれ、ストアの他のアプリを自動的にスキャンして、同じ問題がないかを調べるために利用されている。

 この「App Security Improvement(ASI)」と呼ばれるシステムは、GoogleがGPSRP通じて得たセキュリティ研究者の調査の成果を最大限に活かすのに役立っている。

 同社は「ASIはこれまでに、30万社の開発会社がGoogle Playの100万件以上のアプリを修正するために利用された」と述べている

 Googleはさらに、新たなバグ発見報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」の開始も発表した。これはAndroidアプリ、OAuthプロジェクト、「Chrome」拡張機能のデータ不正利用の発見を促すものだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]