GoogleがAndroidのバグ発見に賞金をかけるプログラムを2015年にスタートさせたとき、得られる最高額は3万8000ドル(約412万円)に過ぎなかった。
しかしAndroidの市場が拡大するにつれ、賞金も上がり、セキュリティ専門家が賞金稼ぎの仲間に加わるにつれて脆弱性の発見も続いた。米国時間11月21日の朝、Googleは賞金最高額を一挙に150万ドル(約1億6300万円)にアップした。といってもどんなバグにも100万ドル(約1億800万円)以上が支払われるわけではない。
最高賞金額の対象となるのは 「リモートから実行してPixelデバイス上のTitan M セキュリティシステムを定常的に迂回できる」ような方法を発見した場合だという。つまり攻撃者がデバイスに物理的に近づくことなく実行でき、かつ実行後にデバイスが再起動されてもPixelのセキュリティチップを無効化できるような方法ということだ。
そのような方法を発見したセキュリティ専門家は100万ドルの賞金を手にすることができる。かつその手法が「Androidの特定のプレビューバージョンでも実行可能」であることを示せれば、さらに50%のボーナスが支払われる。つまりトータルで150万ドルだ。
GoogleはTitan MセキュリティチップをまずPixel 3に導入した。Googleがここで説明しているように、このチップはAndroidのさまざまなクリティカルな作業をモニタして不審な動きがないかチェックする。ブート時にはファームウェアのシグネチャーをチェックし、ロックスクリーンのパスコードを処理する。またマルウェアがOSを古いバージョンにロールバックさせてセキュリティパッチを無効化させようとするのを監視する。Titan MはPixel 4にも用いられている。
たったひとつのバグの発見に150万ドルの賞金というのはすごい額だ。これはGoogleが過去1年間に支払ったバグ発見の賞金総額に等しい。Googleによれば今年のバウンティハンターのトップは16万1337ドル(約1752万円)を獲得したという。これはPixel 3デバイス上で「ワンクリックでリモートコードを実行してデバイスを乗っ取る」テクニックだった。一方賞金額の平均値は1件あたり3800ドル(約41万円)だった。
Titan MはGoogleが独自に開発したチップでAndroidのセキュリティを画期的に強化するとされている。このチップに重大な脆弱性が発見されるなら150万ドルの賞金が出るのは当然かもしれない。
[原文へ]
(翻訳:滑川海彦@Facebook)