グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ

今回は「グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 残念なことに、技術が進歩するにつれて脅威もまた高まる。攻撃者は、意図せぬ脆弱性や見落とされた脆弱性を突く新たな方法を常に探している。Googleは、こうした問題を認識し、「より深いセキュリティ研究」を奨励するために「Chrome Vulnerability Reward Program(VRP)」の報奨金体系を更新した。

 バグハンターが手にする報奨金は、これまでより大幅に増加する。1つの問題について支払われる報奨金の額は最大25万ドル(約3700万円)になった。この報奨金を得るには、2つの重要な課題を遂行しなければならない。まず、サンドボックス化されていないプロセス内にあるメモリー破壊バグを発見する必要がある。

 メモリー破壊とは、ソフトウェアのメモリーが何らかの方法で改変され、異常な動作を引き起こすことだ。サンドボックス化されていないプロセスとは、アプリ全体に影響を与えるエクスプロイトを指す。この場合のアプリは「Chrome」ブラウザーだ。次に、リモートコード実行(RCE)を実証する「質の高いレポート」を提示しなければならない。これができれば、25万ドルを手にできる可能性がある。以前は、報奨金の最高額が4万ドル(約600万円)だった。

 そこから、メモリー破壊バグの深刻度が低くなるにつれて報奨金の額は下がる。制御された環境下におけるリモート実行の実証であれば、最大9万ドル(約1300万円)を獲得できるかもしれない。メモリー破壊が発生していることを示すレポートなら、最大3万5000ドル(約500万円)の報酬を得られる可能性がある。

 これらの報奨金はいずれも保証されているわけではないことに留意しよう。提出されたレポートはさらに、Googleによる審査を経なければならない。

 米国でこの記事が公開された後、Googleから米ZDNETに連絡があり、Chrome VRPで獲得できる金額について明確な情報が得られた。同社によると、支払われる金額は、最初のレポートの質や欠けていたソフトウェアコンポーネント、レポートからGoogleが学べることによって決まるという。同社がエクスプロイトの仕組みを特定できない場合でも、潜在的な脆弱性を緩和できれば、脆弱性を発見した研究者に報奨金が支払われるという。ただし、全額が支払われるわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「サイバーハイジーン」で健全なセキュリティ状態を確保可能–タニウム調査
IT関連
2024-09-12 21:43
サステナビリティや経済安保リスクが迫る日本企業のグループガバナンス再構築
IT関連
2022-10-06 05:39
アマゾンの労組結成賛否を問う従業員投票結果を受け米労組会長が「再選挙の可能性が高い」と語る
パブリック / ダイバーシティ
2021-04-11 21:17
Sky、仮想デスクトップサービスの基盤にオラクルを採用–コストを約62%削減
IT関連
2022-12-22 10:05
サイバネットら3社、XR技術を活用した都市設計ツールを開発–市民参加型のワークショップ実施
IT関連
2023-04-27 16:24
富士通、量子シミュレーターでRSA暗号の安全性を評価
IT関連
2023-01-25 07:03
Zoomが約1兆6000億円で2000社以上の顧客持つクラウドコールセンターFive9を買収
ネットサービス
2021-07-21 04:55
LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売
アプリ・Web
2021-04-11 10:37
写真で見る「IFS Unleashed 2024」–IFSが示した産業用AIの可能性
IT関連
2024-10-19 18:19
Facebook、3万5000人体制のフェイク対策 3カ月で13億の偽アカ削除
企業・業界動向
2021-03-24 22:18
耐量子暗号のスキル構築を急げ–量子技術が「ゲームチェンジャー」になる可能性
IT関連
2022-06-28 18:45
全銀ネットとNTTデータ、全銀システム障害の詳細原因と再発防止策を発表
IT関連
2023-12-03 21:43
GitHub、「GitHub Enterprise Server 3.12」を一般提供–新しい自動化機能とセキュリティ強化を備える
IT関連
2024-03-12 11:12
「Zoom」だけじゃない–ビデオ会議ツール10の選択肢
IT関連
2021-01-23 13:36