GoogleとMozilla、脆弱性の情報提供に対する報酬を引き上げ

Webブラウザの脆弱性情報を提供した研究者に支払う報酬の額を、Googleは最高で3133.7ドルに、Mozillaは3000ドルにそれぞれ引き上げた。

[ITmedia]

　米GoogleとMozillaがWebブラウザの脆弱性情報の提供者に支払う報酬の金額を相次いで引き上げている。

　GoogleはChromeブラウザのセキュリティ強化に向けて社外からの情報提供を促すため、新たな脆弱性を発見・報告した研究者に報酬を支払う制度を今年2月に開始した。これが功を奏してこれまでに多数の情報が寄せられたといい、中には報酬制度がChromeブラウザのセキュリティにかかわる動機になったと明言した研究者もいるという。

　こうした反響に対応して7月20日付で報酬を改訂、深刻な脆弱性情報については、1件当たりに支払う報酬の最高額をこれまでの1337ドルから3133.7ドルに引き上げた。これは、Chromeブラウザに実装されているセキュリティ技術のサンドボックスのため、深刻な脆弱性の発見が難しくなっている現実を考慮したものだとしている。

　危険度がそれほど高くない脆弱性情報については報酬を500ドルのまま据え置くが、根本原因の正確な分析や解決に向けた生産的な論議など質の高い報告には、報酬の増額を検討するとした。

　一方、Mozillaは建設的なセキュリティ研究を支援する目的で2004年から報酬制度を実施しているが、この6年間にセキュリティを取り巻く環境は激変したと指摘する。こうした変化に対応して7月1日から、脆弱性情報の提供者に支払う報酬の額を1件当たり3000ドルに改訂した。

　対象となる製品はFirefoxとThunderbirdに加え、Firefox Mobileとこれらの製品を支えるMozillaサービスも含めることとした。いずれもリリース版とβ版の両方が対象となる。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら