Googleは2023年に、世界中の研究者からの貢献により数千の脆弱性を特定し、対処することができた。これらのセキュリティ努力に対して、68カ国の600人以上の研究者に総額1000万ドルを授与した。
2023年には、特定のVRPターゲットに対する報告に対して期間限定の追加報酬を提供する新しいボーナスアワードプログラムを導入し、ChromeとCloudに対する報奨金プログラムを拡大した。また、第一者のAndroidアプリケーションに焦点を当てたMobile VRPを立ち上げ、Bughuntersブログを通じてインターネット全体をより安全にする方法を共有した。
東京で開催された年次セキュリティカンファレンスESCAL8では、ライブハッキングイベントやコンペティション、研究者とGoogle社員による講演が行われた。
Android VRPでは、Androidエコシステムのセキュリティを強化するために340万ドル以上の報酬を研究者に授与し、Wear OSをプログラムに追加して新しいウェアラブル技術の研究をさらに奨励した。ESCAL8カンファレンスでは、Wear OSとAndroid Automotive OSのライブハッキングイベントが開催され、20以上の重大な脆弱性の発見に対して7万ドルが報酬として授与された。
Chrome VRPでは、MiraclePtrの導入やMiraclePtr Bypass Rewardの立ち上げ、Full Chain Exploit Bonusの提供など、変更と実験の年となった。これらの取り組みにより、Chromeブラウザのセキュリティバグに対して359件のユニークな報告に対して210万ドルの報酬が支払われた。
また、LLM製品を対象としたbugSWATライブハッキングイベントでは、35件の報告があり、総額で87,000ドル以上の報酬が支払われた。AI製品のバグに関する基準も公開され、AIシステム固有のリスクを含む従来のセキュリティ脆弱性のテストを容易にすることを目指している。
Googleはセキュリティコミュニティとの協力、イノベーション、透明性を促進し、新たな脅威に先んじて対応し、Googleの製品とサービスのセキュリティ体制を強化し続けることにコミットしている。
【ニュース解説】
Googleは2023年に、世界中の研究者たちと協力して、自社の製品やサービスに存在する数千の脆弱性を特定し、対処することができました。この成果は、GoogleのVulnerability Reward Program(脆弱性報奨金プログラム)によるもので、68カ国からの600人以上の研究者に総額1000万ドルを授与することで達成されました。
2023年には、新しいボーナスアワードプログラムの導入や、ChromeとCloudに対する報奨金プログラムの拡大、第一者のAndroidアプリケーションに焦点を当てたMobile VRPの立ち上げなど、多くの変更と改善が行われました。これらの取り組みは、インターネット全体の安全性を高めることを目的としています。
特に注目すべきは、Android VRPが大きな成果を上げたことです。Androidエコシステムのセキュリティを強化するために340万ドル以上の報酬を研究者に授与し、Wear OSをプログラムに追加することで、新しいウェアラブル技術の研究を奨励しました。また、Chrome VRPでは、MiraclePtrの導入や、MiraclePtr Bypass Rewardの立ち上げ、Full Chain Exploit Bonusの提供など、セキュリティバグの発見に対する報酬を増やすことで、Chromeブラウザのセキュリティを強化しました。
さらに、LLM製品を対象としたbugSWATライブハッキングイベントでは、AIシステム固有のリスクを含む従来のセキュリティ脆弱性のテストを容易にするための基準が公開されました。これは、AI技術の安全性を確保するためのGoogleの取り組みの一環です。
これらの取り組みは、セキュリティコミュニティとの協力、イノベーション、透明性を促進し、新たな脅威に先んじて対応し、Googleの製品とサービスのセキュリティ体制を強化することを目指しています。Googleは、これらの努力を通じて、ユーザーにより安全で安心して利用できる製品とプラットフォームを提供することを目指しています。
このような取り組みは、セキュリティ研究者との継続的な協力により、インターネットの安全性を高めることに大きく貢献しています。また、新しい技術やプラットフォームの登場に伴い、セキュリティの脅威も進化しているため、これらのプログラムの重要性は今後も増していくことでしょう。Googleの取り組みは、セキュリティ研究の分野におけるイノベーションを促進し、世界中のユーザーにとってより安全なデジタル環境を実現するための重要なステップです。
from Vulnerability Reward Program: 2023 Year in Review.
