Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額

Google Paid Record $8.7 Million to Bug Hunters in 2021

2022/02/12 DarkReading — バグバウンティ・プログラムは、外部のセキュリティ研究者と協力して、製品のセキュリティの脆弱性を特定/修正する意欲の表れであり、また、テクノロジーを標的とする潜在的な攻撃への対抗の表れでもある。Google のプラットフォームである Android/Chrome/Play は、悪意の攻撃者が標的とする、脆弱性の多い環境であり続けている。昨年に Google は、自社のテクノロジーに存在する何千もの脆弱性を発見/報告した、62カ国の 696人のバグハンターに対して過去最高額となる $8.7 million の報奨金を支払った。

この金額は、2020年の報奨金である $6.7 million から 30% 近く増加している。その理由のひとつとして、特定の種類のバグを発見した場合に支払われる報酬が、高くなったことが挙げられる。また、いくつかの Google コア・テクノロジーにおいて、研究者が発見し続けている欠陥の数が多いことも関係しているようだ。

Chrome の脆弱性

その一例は Chrome である。Google のプログラムに参加したバグ・ハンターたちは、2021年に 333件の Chrome セキュリティ・バグを報告したが、2020年に開示された 300件の Chrome バグよりも約 10%多い件数となっている。また Google は、2021年の Chrome 脆弱性に対して、115人の研究者に合計で $3.3 million を支払った。その前年である 2020年にの $2.1 million は、2019年と比較すると 83% 増となっているも。

Chrome に関連する報奨金の大半である $3.1 million は、Chrome ブラウザのセキュリティ・バグを報告した研究者に支払われた。また、Chrome OS のバグに対しても $2.5 million が支払われたが、その中には、特権昇格バグに対する $45,000 という、最高報酬も含まれている。

Google の Android OS も、引き続き標的になりやすい状況にある。昨年に Google は、Android の欠陥を報告したバグ・ハンターに $3 million を支払ったが、2020年の $1.7 million から大きく増えている。

Android のプログラムに参加している、代表的なバグハンター2人が、2021年に 360件という驚異的な数の脆弱性を Google に報告している。そのうちの1人である、研究者の Aman Pandey は 232件の脆弱性を提出し、もう1人の Yu-Cheng Lin は 128件の脆弱性を報告した。

また、Google は 2021年に、Android の脆弱性に対して過去最高額の報酬を支払った。具体的には、同テクノロジーの深刻なエクスプロイトを発見した研究者に、$157,000 を支払っている。Google Play プログラムで Google が支払った報奨金も、2020年の $270,000 から2021年の $550,000 へと倍増している。

2021年の Google は、Chrome/Android/Play などの、すべての脆弱性報奨金プログラムを公開する研究者ポータルを立ち上げた。このポータルは、バグの提出を容易にし、プログラムに参加している研究者の交流を増やすことを目的としているという。

Project Zero

その一方で、今週に発表された Google の新しいデータによると、同社の Project Zeroチームに所属するバグハンターが、2019年から2021年の間に 376件のセキュリティ問題を、他ベンダーのテクノロジーで発見/報告したことが明らかになった。Google の分析によると、一連のバグのうちの 351件は修正されたが、残りは各ベンダーが修正しない問題としてマークされているという。

Project Zero チームが2019年から2021年の間に発見した脆弱性の、26%に当たる 96件のバグは Microsoft に関わるもので、85件は Apple 関連、60件は Google 関連のものだった。これらのベンダーの中で、開示された脆弱性への対応が最も早かったのは Google である。平均して欠陥の修正に 44日を要したのに対し、Apple は69日、Microsoft は83日だったという。

バグ・バウンティに関して、このところ面白いと思ったのは米政府の対応です。2021年12月に「米国の国土安全保障省がバグバウンティを実施:Hack DHS プログラムとは?」という記事と、「米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大」という記事をポストしていますが、なかなか柔軟な対応でイイ感じです。よろしければ、カテゴリ BugBounty も、ご参照ください。

%d bloggers like this: