グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ

今回は「グーグル、「Chrome」の脆弱性報告報奨金を大幅に引き上げ」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　残念なことに、技術が進歩するにつれて脅威もまた高まる。攻撃者は、意図せぬ脆弱性や見落とされた脆弱性を突く新たな方法を常に探している。Googleは、こうした問題を認識し、「より深いセキュリティ研究」を奨励するために「Chrome Vulnerability Reward Program（VRP）」の報奨金体系を更新した。

　バグハンターが手にする報奨金は、これまでより大幅に増加する。1つの問題について支払われる報奨金の額は最大25万ドル（約3700万円）になった。この報奨金を得るには、2つの重要な課題を遂行しなければならない。まず、サンドボックス化されていないプロセス内にあるメモリー破壊バグを発見する必要がある。

　メモリー破壊とは、ソフトウェアのメモリーが何らかの方法で改変され、異常な動作を引き起こすことだ。サンドボックス化されていないプロセスとは、アプリ全体に影響を与えるエクスプロイトを指す。この場合のアプリは「Chrome」ブラウザーだ。次に、リモートコード実行（RCE）を実証する「質の高いレポート」を提示しなければならない。これができれば、25万ドルを手にできる可能性がある。以前は、報奨金の最高額が4万ドル（約600万円）だった。

　そこから、メモリー破壊バグの深刻度が低くなるにつれて報奨金の額は下がる。制御された環境下におけるリモート実行の実証であれば、最大9万ドル（約1300万円）を獲得できるかもしれない。メモリー破壊が発生していることを示すレポートなら、最大3万5000ドル（約500万円）の報酬を得られる可能性がある。

　これらの報奨金はいずれも保証されているわけではないことに留意しよう。提出されたレポートはさらに、Googleによる審査を経なければならない。

　米国でこの記事が公開された後、Googleから米ZDNETに連絡があり、Chrome VRPで獲得できる金額について明確な情報が得られた。同社によると、支払われる金額は、最初のレポートの質や欠けていたソフトウェアコンポーネント、レポートからGoogleが学べることによって決まるという。同社がエクスプロイトの仕組みを特定できない場合でも、潜在的な脆弱性を緩和できれば、脆弱性を発見した研究者に報奨金が支払われるという。ただし、全額が支払われるわけではない。