Googleは2024年、セキュリティ研究者と協力し、製品やサービスの安全性を向上させる取り組みを続けてきました。その成果として、世界各国の600人以上の研究者やホワイトハッカーに対し、総額1,200万ドルの報奨金を支給したことを発表しました。
2024年の取り組みと成果は以下としています。
目次
VRP(Vulnerability Reward Program)報奨金制度の刷新
Google VRP は報奨金制度を刷新し、報奨金を最高 151,515 ドルに引き上げました。
モバイル VRP では、トップクラスのアプリの重大な脆弱性に対して最高 300,000 ドルの報奨金を提供しています。
クラウド VRP では、トップクラスの報奨金が最高 151,515 ドルとなりました。
Chrome では、報奨金は最高 250,000 ドルになりました。
Abuse VRP 支払額増加
不正使用や悪用の脆弱性を対象とした「Abuse VRP」では、支払額は前年比 40% 増加しました。Google 製品の不正使用や誤用に関する問題を対象とした有効なバグが 250 件以上報告され、報奨金は 29 万ドルを超えました。
Android & Googleデバイス
AndroidやGoogle関連のモバイルアプリに関するセキュリティ強化の取り組みも進められ、合計330万ドルの報奨金が支払われました。全体の報告数は前年より8%減少したものの、重大・高リスクの脆弱性の報告数は2%増加しています。これは、Androidのセキュリティが向上し、より高度なバグが求められる状況になっていることを示しています。
特に、Android Automotive OSやWear OSの脆弱性に注目が集まり、実機を用いたライブハッキングイベントが開催されました。スペイン・マラガで行われたESCAL8イベントでは、Pixelデバイスを対象としたハッキングチャレンジが行われ、週末だけで75,000ドルの報奨金が支払われました。
また、外部のセキュリティ研究者と連携し、Androidアプリのセキュリティを学ぶためのAndroid ハッキング コースを提供開始しました。初心者からベテランまで幅広い層に向けた教育プログラムとなっています。
Chromeのバグ報奨金を引き上げ
Chromeのセキュリティ強化のため、VRPの報酬額も見直されました。特に、リモートコード実行(RCE)に関する報奨金が最大25万ドルまで引き上げられたことで、より深い研究が促進されています。
UAF 緩和策 MiraclePtr がすべてのプラットフォームで完全にリリースされ、最初のリリースから 1 年が経過した現在、MiraclePtr で保護されたバグは悪用可能なセキュリティ バグとは見なされなくなりました。
また、MiraclePtr バイパス報奨金を250,128 ドルに増額し、V8 サンドボックス バイパス報奨金の第 1 回目と第 2 回目のイテレーションもリリースされました。
また、Chrome の固有かつ有効なセキュリティ バグの報告が337件寄せられ、137 人の Chrome VRP 研究者に総額340万ドルの報奨金が支払われました。特に、Chromeのメモリ保護技術「MiraclePtr」のバイパスを発見した研究者には、最高額となる100,115ドルの報酬が支払われました。
Google Cloud VRP
Google Cloud に特化した、クラウドに重点を置いた脆弱性報奨プログラムが 10月に開始されました。開始の一環として、レポートと Google Cloud への影響をより適切に一致させるために、製品の階層化を更新し、報奨構造を改善しました。その結果、150 を超える Google Cloud 製品が上位 2 つの報奨階層に含まれ、クラウド研究者への報奨が強化され、クラウドのセキュリティが強化されました。
Google Cloud VRP は開始以来、400 件を超えるレポートをトリアージし、Google Cloud の製品とサービスに関する 200 件を超える固有のセキュリティ脆弱性を報告し、研究者に 50 万ドルを超える報奨金が支払われました。
生成AIのセキュリティ強化
2024年は、GoogleのAI関連製品に対するバグバウンティが初めて実施された年でした。
AI関連のプログラムでは、150件の脆弱性報告が寄せられ、総額55,000ドルの報奨金が支払われました。そのうち 6 件に 1 件が重要な改善につながっています。 さらに、Googleの大規模言語モデル(LLM)をターゲットとしたライブハッキングイベントでは、87,000ドルが支給され、「Google Bardのプロンプトインジェクション」や「データ流出」のリスクが明らかになりました。








