Googleが、セキュリティ研究者向けの報奨制度を大幅に見直し、Pixel端末の高度なハッキングに対して最大150万ドルを支払う新方針を発表しました。単純な脆弱性報告の価値を引き下げる一方で、実害につながる高度な攻撃の発見に重点を移しています。
Pixelの中核セキュリティ突破で報奨大幅増額
今回の変更で注目されているのが、Titan M2セキュリティチップを標的とした攻撃への報奨です。特にユーザー操作を必要としない「ゼロクリック攻撃」で、かつ端末に持続的な影響を与える手法を実証できた場合、最大150万ドルの報酬が支払われる可能性があります。
なお、同様の攻撃でも持続性がない場合は最大75万ドルとされており、攻撃の難易度や影響範囲によって報酬が大きく変わる仕組みです。
AndroidとChromeの報奨制度も再編
今回の制度変更は、AndroidおよびGoogle Chromeの脆弱性報奨プログラム全体に及びます。
Androidでは高度な攻撃に対する報酬が強化される一方で、比較的単純なバグの報告に対する報酬は縮小されました。Chromeについても同様に、一部の報奨カテゴリが廃止・削減されています。
背景には、AIツールの普及により、比較的単純な脆弱性の発見が容易になってきたことがあります。そのためGoogleは、より高度で再現性があり、実際のリスクを伴う報告を重視する方針に切り替えています。
高度なブラウザ攻撃には引き続き高額報酬
一方で、Chromeにおけるフルチェーン攻撃など、複数の脆弱性を組み合わせた高度な手法については、引き続き高額報酬が設定されています。最新環境での完全なブラウザ侵害を実証した場合、最大25万ドルが支払われるとされています。
また、特定の高度メモリ攻撃に関連する「MiraclePtr」ボーナスについては、引き続き維持される見込みです。
AI関連のバグ報奨も継続
Googleは近年、AI分野のセキュリティにも注力しており、生成AIや検索、業務ツールなどに関する脆弱性報告にも報奨を設けています。
プロンプトインジェクションや不正操作、データ漏洩といった重大な問題については、最大3万ドルの報酬が用意されています。
報奨制度は「質重視」へ
今回の制度改定は、単なる報告数ではなく、影響の大きさや技術的難易度を重視する方向への転換を示しています。AIの進化によって低難度のバグ発見が一般化する中、より高度なセキュリティ研究を促す狙いがあるとみられます。
Pixelのセキュリティチップを巡る今回の報奨強化は、同社がハードウェアレベルの防御に強い自信を持っていることの裏返しとも言えます。今後、どのような研究成果が報告されるのかにも注目が集まりそうです。
