「Android」のセキュリティバグ発見でGoogleが太っ腹な賞金、最高金額は？：2014年は150万ドル支払い、高額賞金の理由とは

米Googleが新制度「Android Security Rewards」を立ち上げる。これは従来のバグ発見報奨制度を拡張し、セキュリティ関連の開発協力に対しても賞金を提供するというものだ。

[Michael Heller，TechTarget]

Googleは自社サイトで報奨金の具体的な金額表を掲載している《クリックで拡大》

　バグ発見報奨制度は、IT企業がセキュリティを改善するための方法として広く採用されているが、米Googleは報奨の対象を拡大し、モバイルセキュリティの開発協力に対しても賞金を提供する。

　今回Googleが発表した新しい報奨制度「Android Security Rewards」は、同社の従来のパッチ報奨制度と並行して実施される。新制度では「セキュリティバグの修正に必要なパッチやテストなど個々のステップ」にも賞金が支払われる。

関連記事

最近、特に注目されている「標的型攻撃」

• 日本年金機構の事件でも悪用か　マルウェア「Emdivi」の恐ろしさ
• 「Microsoft Office」よりも「一太郎」が狙われる？　標的型攻撃の国内動向

「脆弱性」に関する記事

• Lenovo製品だけじゃない、「アップデートだと思ったら脆弱性」問題が収まらない訳
• PCゲーム「Doom」が勝手にインストール？　急がれる“無線プリンタ”のセキュリティ対策

報奨金施策

• 「バグを見つけてお金をもらえる？」、各社が始める報奨金施策の狙いとは
• iOS 8 vs. Android 5.0、セキュリティ機能の差は本当に縮まったか？

　新制度の対象となるのは、「Android Open Source Project（AOSP）」コード、OEMコード（ライブラリ、ドライバ）、カーネル、ARMプロセッサの「TrustZone」OSおよびモジュールだ。当初は、Googleのデバイス（「Nexus 6」と「Nexus 9」）に含まれるバグだけが対象となる。これらは、Androidのエコシステム全体に影響を及ぼすバグである可能性が高いからだ。

　Googleはバグの発見に対して賞金を支払うだけでなく、個別リプロダクションコードあるいは個別テストケースや、問題を検出する「Compatibility Test Suite（CTS）」テスト、あるいはCTSテストとパッチの提出には、さらに高額の賞金を出す方針だ。

　脆弱性検査ツールを開発している米Rapid7で技術マネジャーを務めるトッド・ビアーズリー氏によると、こうした取り組みは重要なステップだという。セキュリティの調査だけではなく、セキュリティ関連の開発協力も報奨の対象として重視されるようになるからだ。

　「今回の発表と新制度の内容を見れば、脆弱性報告以外の協力、例えばパッチの開発やCTSテスト手順にも賞金を出すという姿勢がうかがえる」とビアーズリー氏は指摘する。「ほとんどのバグ発見報奨制度がバグの発見と報告を重視しているのに対し、Googleはオープンソースプラットフォームにおけるエンド・ツー・エンドのセキュアな開発を重視している」

　Googleは2010年以来、脆弱性発見制度を通じて400万ドル以上の賞金を支払っており、2014年の支払い額は150万ドルだった。

　Android Security Rewards制度の報奨額はシステムへの影響の度合いによって異なり、「ASLR」（Address Space Layout Randomization）やサンドボックスといったAndroidプラットフォームのセキュリティ機能を回避する方法を示した場合に高額の賞金が支払われる。例えば、セキュリティ研究者がバグを発見し、重要な遠隔操作のテストケース、パッチおよびエクスプロイトを作成した場合の賞金は約3万8000ドルになる可能性がある。

　ビアーズリー氏によると、この新制度がテスト分野全体に与える影響にも関心があるという。

　「今後の展開が興味深い。この報奨制度は、セキュリティ関連作業だけでなく従来の品質保証（QA）作業にも報奨を与えるという方向につながるからだ。QAは脆弱性調査と関連した分野だが、その原則は大きく異なり、再現性と信頼性の期待値も異なる」と同氏は語る。