Metaは2025年にバグ報奨金プログラムを通じて400万ドルを支払い、このプログラム開始以来、ソーシャルメディア大手が支払った総額は2,500万ドルを超えました。
Metaは今年、約13,000件の脆弱性報告を受け取り、そのうち800件に報奨金を支払いました。
同社は3件の報告を注目事例として取り上げています。そのうちの1件はCVE-2025-59489に関するもので、Unityの脆弱性がMicrosoftとSteamの両方の対応を促しました。Metaの場合、この脆弱性によりQuest VRヘッドセットにインストールされた悪意のあるアプリケーションがUnityアプリケーションを操作し、任意のコードを実行できる可能性がありました。
Metaが注目したもう1件の報告は、ウィーン大学の研究者によって提出され、大規模にWhatsAppアカウントを列挙する方法が説明されていました。
研究者たちはオープンソースツールを使って考えられる電話番号を生成し、それらがWhatsAppアカウントに関連付けられているかを確認し、公開されている情報をまとめました。
WhatsAppを対象とした別のバグ報告はMetaのアナリストから提出され、ユーザーのデバイス上で任意のURLからコンテンツを処理させることができる不完全な検証の問題が発見されました。
同社によると、WhatsAppクライアントやサーバーインフラは重要なターゲットですが、脆弱性を見つけるのは簡単ではありません。研究者からのフィードバックを受けて、MetaはWhatsApp固有の技術の調査を容易にするツールを作成することを決定しました。
このツール「WhatsApp Research Proxy」は、メッセージングアプリのネットワークプロトコルを分析するために設計されています。現在、このツールは長年活動している一部のバグハンターのみが利用できます。今後、より多くの研究者がツールのテストに招待され、最終的には全員が利用できるようにすることを目指しています。
関連記事: Apple バグ報奨金最新情報:最高支払い額200万ドル、累計3,500万ドル支払い済み
関連記事: Google、2024年にバグ報奨金プログラムで1,200万ドルを支払い
翻訳元: https://www.securityweek.com/meta-paid-out-4-million-via-bug-bounty-program-in-2025/
