Google、脆弱性情報に支払う賞金を大幅アップ 攻撃側に対抗か

[鈴木聖子，ITmedia]

　米Googleは4月23日、賞金付きで脆弱性情報を募る制度の規定を改訂し、賞金の額を大幅に引き上げたと発表した。

　同制度は、Googleのサービスや傘下の製品に関する脆弱性情報の提供を募り、深刻度に応じて賞金を贈呈するもの。これまでに780件を超す脆弱性情報が寄せられ、約200人に総額約46万ドルの賞金を贈呈したという。

　Googleはこれについて「セキュリティ研究者とのコラボレーションは期待した以上の成果が上がった」と評価し、これを記念して賞金を大幅に引き上げると発表。コード実行を許す恐れのある脆弱性情報の提供者に払う賞金は2万ドルとなり、これまでの3133ドルから大幅にアップした。

　また、SQLインジェクション攻撃や情報流出などを誘発し得る深刻な脆弱性情報に払う賞金は1万ドル、アプリケーションのクロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（XSRF）といった脆弱性情報への賞金も3133.7ドルにそれぞれ引き上げている。

　この背景について米誌Forbesでは、脆弱性を悪用して攻撃を仕掛ける側は、はるかに高額で脆弱性情報を買い取っていると指摘。これまでのような賞金では攻撃側に対抗できないことをGoogleが認めた格好だと伝えている。