Googleのバグ報奨金プログラムは、Google(ひいてはあなた)だけでなく、Googleのソフトウェアの脆弱性を精査するセキュリティ研究者にも利益をもたらしています。検索大手のGoogleは最近、過去3年間で2,000件以上のセキュリティバグ報告を受け取り、200万ドル以上の報奨金を支払ったと発表しました。
バグ報奨金制度は、ソフトウェアメーカーが製品のセキュリティを強化する手段として、ますます普及しつつあります。従業員や民間のセキュリティ企業からの報告に頼るのではなく、バグ報奨金プログラムは、個人がセキュリティ上の欠陥を直接企業に報告できるチャネルを提供します。報告された欠陥が報奨金プログラムの要件を満たしている場合、企業はその発見者に報奨金を支払います。
バグバウンティプログラムの基本的なコンセプトは、オープンソースソフトウェアと、「コードをチェックする人の数が増えれば増えるほど、セキュリティ上の欠陥を発見して修正できる可能性が高くなる」という信念に遡ります。しかし、オープンソースコミュニティとは異なり、Googleのバグハンターは必ずしも基盤となるコードにアクセスできるわけではありません。研究者たちは、Googleのシステムを悪用する革新的な方法を模索しています。
自社ソフトウェアに門戸を開き、攻撃開始を宣言するというのは突拍子もない話のように聞こえるかもしれないが、このコンセプトは効果を上げているようだ。カリフォルニア大学バークレー校の研究者による最近の研究では、バグ報奨金プログラムは、同じ仕事をする従業員を雇うよりも安価で効果的であることが明らかになった。
バグ報奨金制度が効果的な理由の一つは、システムの脆弱性を突こうとする人が増えることです。しかし、Googleの場合、研究者たちはゲーミフィケーションも大きな役割を果たしていると述べています。Googleは脆弱性の深刻度に応じて報酬をスライド制で支払い、特に重要なバグにはボーナスを支給しています。また、PwniumやPwn2Ownといったコンテストでは、ハッカーたちがブラウザベースのエクスプロイトを使ってPCに侵入する最速の方法を見つけ、賞金を競い合います。Googleはさらに、PwniumやPwn2Ownといったコンテストでも、より大きな報酬を提供しています。
より高い報酬を得られる可能性は、人々が将来大きな利益を期待してバグを探し続ける動機となります。「潜在的な賞金が大きければ大きいほど、参加者は期待される見返りが低くても受け入れる意思が強くなります。つまり、脆弱性報酬プログラム(VRP)の場合、より多くの参加者が参加することを期待できるということです」とカリフォルニア大学バークレー校の研究者は述べています。
コンピュータの脆弱性に対する現金
Googleは、200万ドルの節目を記念し、バグ報奨金制度への投資額を倍増どころか5倍に増額すると発表した。ChromeブラウザのベースとなっているGoogle主導のオープンソースプロジェクト「Chromium」の脆弱性を発見した開発者には、最大5,000ドルの報奨金が支払われる。この5,000ドルという報奨金は、同社がこれまで支払っていた1,000ドルから引き上げられた。
Google の Chromium 報奨金の増額は、Gmail、YouTube、Google ドライブなど、この検索大手のオンライン サービスでセキュリティ上の欠陥を発見した人に対する 6 月の同様の増額に続くものだ。
バグ報奨金制度を導入している大手企業はGoogleだけではありません。セキュリティ報告においてクラウドファンディングを活用したいと考えている他の大手企業には、AT&T、Facebook、PayPal、Samsungなどがあります。常に秘密主義を貫くMicrosoftでさえ、このバグ報奨金制度に参入し、6月にはWindows 8.1とInternet Explorer 11で発見された脆弱性に対し、期間限定で報奨金を支払うと発表しました。
バグハンティング活動に参加したい人は、Bugcrowd.com でバグ報奨金プログラムの長いリストを見つけることができます。
