グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ

今回は「グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 残念なことに、技術が進歩するにつれて脅威もまた高まる。攻撃者は、意図せぬ脆弱性や見落とされた脆弱性を突く新たな方法を常に探している。Googleは、こうした問題を認識し、「より深いセキュリティ研究」を奨励するために「Chrome Vulnerability Reward Program(VRP)」の報奨金体系を更新した。

 バグハンターが手にする報奨金は、これまでより大幅に増加する。1つの問題について支払われる報奨金の額は最大25万ドル(約3700万円)になった。この報奨金を得るには、2つの重要な課題を遂行しなければならない。まず、サンドボックス化されていないプロセス内にあるメモリー破壊バグを発見する必要がある。

 メモリー破壊とは、ソフトウェアのメモリーが何らかの方法で改変され、異常な動作を引き起こすことだ。サンドボックス化されていないプロセスとは、アプリ全体に影響を与えるエクスプロイトを指す。この場合のアプリは「Chrome」ブラウザーだ。次に、リモートコード実行(RCE)を実証する「質の高いレポート」を提示しなければならない。これができれば、25万ドルを手にできる可能性がある。以前は、報奨金の最高額が4万ドル(約600万円)だった。

 そこから、メモリー破壊バグの深刻度が低くなるにつれて報奨金の額は下がる。制御された環境下におけるリモート実行の実証であれば、最大9万ドル(約1300万円)を獲得できるかもしれない。メモリー破壊が発生していることを示すレポートなら、最大3万5000ドル(約500万円)の報酬を得られる可能性がある。

 これらの報奨金はいずれも保証されているわけではないことに留意しよう。提出されたレポートはさらに、Googleによる審査を経なければならない。

 米国でこの記事が公開された後、Googleから米ZDNETに連絡があり、Chrome VRPで獲得できる金額について明確な情報が得られた。同社によると、支払われる金額は、最初のレポートの質や欠けていたソフトウェアコンポーネント、レポートからGoogleが学べることによって決まるという。同社がエクスプロイトの仕組みを特定できない場合でも、潜在的な脆弱性を緩和できれば、脆弱性を発見した研究者に報奨金が支払われるという。ただし、全額が支払われるわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
2024年はハイブリッドAIが主流に–ゴールドマン・サックスCIO
IT関連
2024-01-16 02:10
モバイルバッテリーを借りられる公衆電話、NTT西が実験 災害時は無料レンタル
企業・業界動向
2021-01-16 08:54
セールスフォース、汎用LLMコネクターをリリース–NTTやNECとも連携開始
IT関連
2024-10-24 13:47
「ドラゴンクエストライバルズ エース」7月にサービス終了 「正直に言えば力及ばず」
ネットトピック
2021-04-03 04:26
女性向けECサイトでクレカのセキュリティコード流出か サービスは停止済み、再開時期は未定
セキュリティ
2021-08-17 21:59
プレゼントと温かい気持ちや想いも贈れるアプリGoodyが4.2億円調達
ネットサービス
2021-02-10 02:23
MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘
IT関連
2023-02-03 05:04
弁護士ドットコム、契約書レビューをAIで支援する「クラウドサイン レビュー」開始
IT関連
2023-07-25 21:21
インテリジェント ウェイブ、ファイル無害化製品で悪質マクロを検知する新機能
IT関連
2022-01-23 11:58
マイクロソフト「Teams」、"低データモード"を準備中–リモートワーク中の帯域問題に対処へ
IT関連
2021-03-12 03:44
日立ソリューションズ・テクノロジー、音声テキスト化ソフトウェアを強化し自然な会話を目指す
IT関連
2022-09-24 11:33
「Google Chrome」、新セキュリティー機能「V8 Sandbox」を間もなく実装
IT関連
2024-04-12 07:05
「NFTのShopify」を目指すBitskiがa16zから約21億円調達、クリエイターやブランドにカスタムストアを提供
ブロックチェーン
2021-05-09 04:41
キヤノンITS、「SuperStream-NX」にデジタルインボイス機能を追加
IT関連
2024-04-24 17:32