ITmedia NEWS > セキュリティ >
ニュース
2017年06月02日 09時35分 UPDATE

Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに

最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。

[鈴木聖子,ITmedia]

 米Googleは6月1日、Androidの脆弱(ぜいじゃく)性情報に賞金を支払う制度の創設から2年目を迎え、これまでの成果を総括するとともに、賞金の最高額を引き上げるなどの変更を発表した。セキュリティアップデートが行き渡っているメーカーやモデル名も公表している。

 Googleのブログによると、同制度の2年目は基準を満たす脆弱性報告が450件以上寄せられ、研究者1人当たりに支払った賞金の平均は52.3%増加。支払った賞金の総額は110万ドルへと倍増した。

脆弱性発見者への賞金を増額 ,脆弱性発見者への賞金を増額

 一方で、リモートから悪用してセキュリティ機能の「TrustZone」または「Verified Boot」をかわすことのできる脆弱性については、最高額の賞金が設定されているものの、過去2年の間、該当者がいなかったという。

 そこで6月1日から実施した変更の中で、この脆弱性の発見者に支払う賞金を5万ドルから20万ドルに引き上げると発表。また、リモートカーネルエクスプロイトの脆弱性についても、賞金の額を3万ドルから15万ドルへと引き上げた。

Androidの脆弱性の発見者に支払う賞金額 Androidの脆弱性の発見者に支払う賞金額

 Androidのセキュリティを巡っては、脆弱性を修正する月例セキュリティアップデートの配信が端末のメーカーなどに委ねられているため、行き渡るのに時間がかかる問題も指摘されてきた。

 これについてGoogleは、「100以上のデバイスモデルは、デプロイされているデバイスの大多数で過去90日のセキュリティアップデートが適用されている」と報告。デバイスの大多数で過去2カ月のアップデートが適用されているモデルの一覧を、メーカーごとに紹介している。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.