Google が Chrome バグ報奨金プログラムを強化、セキュリティ研究者に巨額の報酬を提供

Google は、主力ブラウザのセキュリティを強化する大胆な取り組みとして、Chrome の脆弱性を発見した研究者への報奨金を大幅に増額した。このテクノロジー大手は現在、重大な欠陥を発見した研究者に最大25 万ドルの報奨金を用意しており、一定の条件下ではさらに高額の報奨金が支払われる可能性もある。

大発見のための大金

最高額の報奨金は、最も深刻なセキュリティ問題、具体的にはサンドボックス化されていないプロセスにおけるメモリ破損バグに対して支払われます。研究者が機能的なエクスプロイトによるリモート コード実行 (RCE) を実証できれば、Google は 25 万ドルの報奨金を支払う用意があります。概念実証 (PoC) コードがレンダラーを侵害することなく RCE を実現した場合、この金額はさらに高くなる可能性があり、革新的な研究に報奨金を払うという Google の取り組みを示すものとなります。

脆弱性報告に対する報酬レベル

Google の更新された報奨金制度は幅広い脆弱性をカバーしており、支払額は問題の深刻度と複雑さに応じて異なります。

• 最大 250,000 ドル: サンドボックス化されていないプロセスでの RCE に対して、レンダラーの侵害を回避する PoC コードに対して追加の報酬が支払われます。
• 最大 90,000 ドル: サンドボックス化されていないプロセスにおける制御された書き込みの脆弱性に対して。
• 最高 85,000 ドル: 高度な特権を持つプロセスでの RCE の場合。
• 最大 55,000 ドル: サンドボックス化されたプロセスでの RCE の場合。
• 最大 35,000 ドル: メモリ破損の脆弱性に対して。
• 最大 30,000 ドル: クロスサイト スクリプティング (XSS) またはサイト分離バイパスにつながるクライアント側の欠陥に関する高品質のレポート。
• 最高 250,128 ドル: Chrome の MiraclePtr テクノロジーを回避する脆弱性に対して。これは、解放済みメモリ使用の悪用に対する重要な防御です。

深い研究を奨励する

報奨金の大幅な増額は、Chrome のセキュリティ メカニズムのより深い調査を奨励するために設計されています。Google は、より高い報奨金を提供することで、見過ごされがちな脆弱性を発見し、膨大なユーザー ベースに安全なブラウジング体験を提供したいと考えています。同社は、報奨金は報告された問題の品質、影響、潜在的な損害に基づいて決定されることを強調しています。

セキュリティ専門家にとって絶好の機会

Google の脆弱性報奨プログラム (VRP) の最新アップデートは、セキュリティ研究者が大きな報酬を得ながら有意義な影響を与える大きな機会となります。最も重大な脆弱性をターゲットにすることで、研究者は、専門知識に対して十分な報酬を得ながら、世界で最も人気のあるブラウザの 1 つである Google の継続的なセキュリティに貢献できます。

こうした脆弱性を発見し、悪用するスキルを持つ人々にとって、Google の新しい報奨金プログラムは、金銭的なインセンティブだけでなく、デジタル エコシステムの保護において極めて重要な役割を果たすチャンスも提供します。