Google は Chrome 脆弱性報奨プログラム（VRP）の報酬を大幅に引き上げ、重大なセキュリティ欠陥に対して最大25万ドルを提供することを発表しました。Chrome の16周年と VRP の14周年に合わせて行われたこの大幅な更新は、より徹底的なセキュリティ研究と高品質な脆弱性報告を奨励することを目的としています。

Chrome VRP の主な変更点

• 最大報酬額の引き上げ: 最も深刻な脆弱性に対する最高報酬が4万ドルから25万ドルに引き上げられました。
• メモリ破損への焦点: 研究者は、サンドボックス化されていないプロセスでメモリ破損バグを特定し、リモートコード実行（RCE）を実証することで最大報酬を獲得できます。
• 段階的な報酬構造: 発見された脆弱性の深刻度と影響に基づいて報酬が変動します：
  • 制御された環境での RCE 実証で最大9万ドル
  • アクティブなメモリ破損報告で最大3万5千ドル
  • 高権限プロセスでのメモリ破損で最大8万5千ドル
  • サンドボックス化されたプロセスでの同様の攻撃で最大5万5千ドル

追加報酬とボーナス

• MiraclePtr バイパス報酬: 100,115ドルから250,128ドルに増額
• その他のセキュリティ欠陥: 影響に応じて1,000ドルから3万ドルの報酬
• ボーナス報酬: バグを引き起こした特定のコミットを特定した場合、1,000ドル

Google のセキュリティプログラムの創造性とテクノロジー志向の性質を強調する現代的なデジタルワークスペース

品質と影響の重視

Google は、報酬が保証されるものではなく、初期報告の品質、影響を受けるソフトウェアコンポーネント、および会社にとっての潜在的な教訓に依存することを強調しています。報酬の対象となるには、明確なセキュリティ上の影響またはユーザーに害を及ぼす可能性を示す必要があります。

今後の展望

Google は、プログラムを発展させる取り組みの一環として、将来的にさらに実験的な報酬機会を探求する計画です。この更新は、Chrome のセキュリティを強化し、セキュリティ研究コミュニティとより深く関わろうとする同社の継続的な努力を反映しています。

参加に興味がある方や、オンライン保護についてもっと学びたい方は、Chrome VRP のガイドラインを確認し、信頼できる個人情報盗難保護およびクレジットモニタリングサービスを探ることをお勧めします。