グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ

今回は「グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 残念なことに、技術が進歩するにつれて脅威もまた高まる。攻撃者は、意図せぬ脆弱性や見落とされた脆弱性を突く新たな方法を常に探している。Googleは、こうした問題を認識し、「より深いセキュリティ研究」を奨励するために「Chrome Vulnerability Reward Program(VRP)」の報奨金体系を更新した。

 バグハンターが手にする報奨金は、これまでより大幅に増加する。1つの問題について支払われる報奨金の額は最大25万ドル(約3700万円)になった。この報奨金を得るには、2つの重要な課題を遂行しなければならない。まず、サンドボックス化されていないプロセス内にあるメモリー破壊バグを発見する必要がある。

 メモリー破壊とは、ソフトウェアのメモリーが何らかの方法で改変され、異常な動作を引き起こすことだ。サンドボックス化されていないプロセスとは、アプリ全体に影響を与えるエクスプロイトを指す。この場合のアプリは「Chrome」ブラウザーだ。次に、リモートコード実行(RCE)を実証する「質の高いレポート」を提示しなければならない。これができれば、25万ドルを手にできる可能性がある。以前は、報奨金の最高額が4万ドル(約600万円)だった。

 そこから、メモリー破壊バグの深刻度が低くなるにつれて報奨金の額は下がる。制御された環境下におけるリモート実行の実証であれば、最大9万ドル(約1300万円)を獲得できるかもしれない。メモリー破壊が発生していることを示すレポートなら、最大3万5000ドル(約500万円)の報酬を得られる可能性がある。

 これらの報奨金はいずれも保証されているわけではないことに留意しよう。提出されたレポートはさらに、Googleによる審査を経なければならない。

 米国でこの記事が公開された後、Googleから米ZDNETに連絡があり、Chrome VRPで獲得できる金額について明確な情報が得られた。同社によると、支払われる金額は、最初のレポートの質や欠けていたソフトウェアコンポーネント、レポートからGoogleが学べることによって決まるという。同社がエクスプロイトの仕組みを特定できない場合でも、潜在的な脆弱性を緩和できれば、脆弱性を発見した研究者に報奨金が支払われるという。ただし、全額が支払われるわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
名古屋港のランサムウェア被害、インシデント対応の経緯を公表
IT関連
2023-07-29 06:44
テレワークでエアコンの使用時間は約1.8倍に ダイキン調査
くらテク
2021-03-20 17:03
生徒の習熟度に合わせ難易度を調整するAI学習システム「Monoxer」を中国語教室「waysChinese」が本格導入
EdTech
2021-05-25 21:31
WebAssembyとしてPostgreSQLをビルドした「PGlite」公開。Node.jsやブラウザ上でPostgreSQLを実行、DBの永続化も可能
JavaScript
2024-08-19 14:41
サイバー犯罪のプロフェッショナル化–ウィズセキュア調査
IT関連
2023-05-27 10:22
阿寒湖の巨大マリモ、成長の理由は「層になったバクテリア」
科学・テクノロジー
2021-06-30 17:36
職業としてのセキュリティ–日本企業のIT分業を覆した「黒船来航」
IT関連
2023-01-24 12:16
ソニー生命の海外子会社で170億円の不正送金 加入者への影響はなし
企業・業界動向
2021-08-05 20:38
GitLab、「GitLab 16.5」をリリース–コンプライアンス標準準拠レポートなどを追加
IT関連
2023-11-11 20:11
世界中の組織の90%が2年以内にITスキル不足の危機で痛手を感じ、製品の遅延、競争力の低下などを引き起こす。IDCが予測
働き方
2024-06-07 01:50
マイクロソフトの「GitHub Copilot」、有償ユーザーが100万人を突破
IT関連
2023-10-27 05:55
大成建設、アドビの電子契約サービスで契約書の90%以上を電子化
IT関連
2023-04-19 09:40
IT系コミュニティをタダ飯狙いの不審者からどう守るべきか。あるイベントで発生した深刻な事案と提言
業界動向
2023-12-19 22:30
技術者ではないチームに専門知識不要のデータ探索機能を提供するCanvas
IT関連
2022-01-31 21:17