Androidのバグ発見にGoogleが1.6億円超の賞金

GoogleがAndroidのバグ発見に賞金をかけるプログラムを2015年にスタートさせたとき、得られる最高額は3万8000ドル(約412万円)に過ぎなかった。

しかしAndroidの市場が拡大するにつれ、賞金も上がり、セキュリティ専門家が賞金稼ぎの仲間に加わるにつれて脆弱性の発見も続いた。米国時間11月21日の朝、Googleは賞金最高額を一挙に150万ドル(約1億6300万円)にアップした。といってもどんなバグにも100万ドル(約1億800万円)以上が支払われるわけではない。

最高賞金額の対象となるのは 「リモートから実行してPixelデバイス上のTitan M セキュリティシステムを定常的に迂回できる」ような方法を発見した場合だという。つまり攻撃者がデバイスに物理的に近づくことなく実行でき、かつ実行後にデバイスが再起動されてもPixelのセキュリティチップを無効化できるような方法ということだ。

そのような方法を発見したセキュリティ専門家は100万ドルの賞金を手にすることができる。かつその手法が「Androidの特定のプレビューバージョンでも実行可能」であることを示せれば、さらに50%のボーナスが支払われる。つまりトータルで150万ドルだ。

GoogleはTitan MセキュリティチップをまずPixel 3に導入した。Googleがここで説明しているように、このチップはAndroidのさまざまなクリティカルな作業をモニタして不審な動きがないかチェックする。ブート時にはファームウェアのシグネチャーをチェックし、ロックスクリーンのパスコードを処理する。またマルウェアがOSを古いバージョンにロールバックさせてセキュリティパッチを無効化させようとするのを監視する。Titan MはPixel 4にも用いられている。

たったひとつのバグの発見に150万ドルの賞金というのはすごい額だ。これはGoogleが過去1年間に支払ったバグ発見の賞金総額に等しい。Googleによれば今年のバウンティハンターのトップは16万1337ドル(約1752万円)を獲得したという。これはPixel 3デバイス上で「ワンクリックでリモートコードを実行してデバイスを乗っ取る」テクニックだった。一方賞金額の平均値は1件あたり3800ドル(約41万円)だった。

Titan MはGoogleが独自に開発したチップでAndroidのセキュリティを画期的に強化するとされている。このチップに重大な脆弱性が発見されるなら150万ドルの賞金が出るのは当然かもしれない。

原文へ

(翻訳:滑川海彦@Facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。