Googleは脆弱性報奨金プログラム(VRP)において記録的な一年を発表しました。2025年、テック大手は世界中の倫理的ハッカーに1700万ドル以上を支払い、プラットフォームのセキュリティ強化に貢献しました。
この重要なマイルストーンは2024年と比べて40%の大幅な増加を示しており、プログラムの15周年と完璧に一致しています。
世界中の700人以上のセキュリティ研究者が、悪意あるアクターに悪用される前に重大な脆弱性を発見し報告したことで金銭的報酬を受け取りました。
2025年の最も重要な変更の一つは、Googleが人工知能のセキュリティにより注力したことです。
Googleは研究者により明確なテストスコープとより良い報奨ガイドラインを提供するために、専用のAI脆弱性報奨金プログラムを立ち上げました。
以前は、AI脆弱性は一般的な不正利用VRPの下に分類されていましたが、技術の急速な成長は専門的なアプローチを必要としていました。
さらに、Chromeブラウザのすべてのルールが拡張され、Gemini統合などのAI機能で発見されたセキュリティ上の欠陥に対する特定の報奨カテゴリが含まれるようになりました。
ライブハッキングとオープンソースセキュリティ
Googleはまた、通年を通じてライブハッキングイベントおよびオープンソースセキュリティツールに多額の投資を行いました。
同社は、ソフトウェア依存関係の脆弱性を見つけるために設計されたオープンソースツールであるOSV-SCALIBRの新しいパッチ報奨プログラムを導入しました。
新しいスキャンプラグインを提供した貢献者は報酬を受け取り、これらの外部提出は既にGoogleが内部で漏洩したシークレットを発見し改善するのに役立っています。
コミュニティ面では、Googleは世界中で複数の招待制のbugSWATライブハッキングイベントを開催し、トップ研究者を集めて影響の大きいバグを探しました。主なイベントハイライトは以下の通りです:
- 4月の東京AI bugSWATは70件以上のレポートを生成し、40万ドル以上の報酬をもたらしました。
- 6月のサニーベイルクラウドbugSWATは130件のレポートをもたらし、参加者に160万ドルという素晴らしい金額を支払いました。
- 8月のラスベガスbugSWATは77件のレポートを確保し、セキュリティ研究者に38万ドルを発行しました。
- メキシコシティのbugSWATはAI、Android、クラウドターゲットに焦点を当て、107件のレポートと566,000ドルの支払いを生成しました。
サイバー脅威が進化し続ける中、Googleは外部のセキュリティコミュニティとの協力にコミットし続けています。
2026年、同社はさらにいくつかのbugSWATイベントと次回のESCAL8サイバーセキュリティカンファレンスを開催する予定です。
独立した研究者と密接に協力し、彼らの努力に報酬を与えることで、Googleは新興の脅威に先んじ、その世界的なプロダクトとサービスのセキュリティを継続的に強化することを目指しています。
翻訳元: https://gbhackers.com/googles-bug-bounty-program-hits-record-17-million/
