Google、脆弱性情報に支払う報奨金を大幅アップ

[鈴木聖子，ITmedia]

　米Googleは6月6日、同社の製品やサービスの脆弱性を発見して情報を寄せた研究者に支払っている報奨金を大幅にアップすると発表した。

　脆弱性情報に対して報奨金を支払う制度は、Googleが2010年に導入した。これまでに寄せられた情報は1500件を超え、約250人に総額82万8000ドルを支払ってきたという。

　今回、同社の主要アプリケーションの脆弱性を見つけることの難しさを勘案して規定を見直し、報償額を大幅に引き上げることにしたとGoogleは説明する。

　新しい報奨金は、Googleアカウントページに存在するクロスサイトスクリプティング（XSS）の脆弱性情報については3133.7ドルから7500ドルへ、GmailやGoogle Walletといった重要サービスのXSSの脆弱性については1337ドルから5000ドルへ、一般的なGoogleの製品やサービスの脆弱性については500ドルから3133.70ドルへとそれぞれ増額した。

　また、認証回避や情報流出につながる重大な脆弱性については5000ドルから7500ドルへと引き上げた。

　Googleは報酬制度について、「脆弱性修正とユーザーの保護対策に大いに役立つと同時に、セキュリティ研究者との関係も強化できる」と評価している。