ハッキングはすべて悪いことだと思われがちだが、それは間違いだ。他の記事でも繰り返し述べてきたように、ハッキングは犯罪ではない──サイバー犯罪こそが犯罪なのだ。この区別は極めて重要だ。完全に合法な活動を行うハッカーたちが、私たちが日常的に使うプラットフォームやアプリケーションの脆弱性を報告してくれなければ、私たちのセキュリティは、はっきり言って、はるかに脆弱なものになってしまう。そして、まさにそうした縁の下の力持ちたちが、グーグルを合法的にハッキングすることで、2025年に1700万ドル(約27億円。1ドル=159円換算)を稼ぐことができたのである。
グーグルがハッカーに謝意を表す
グーグルの脆弱性報奨金プログラム(Vulnerability Reward Program)の最新レビューでも、「外部のセキュリティ研究コミュニティとの連携が、グーグルとその製品の安全性向上に継続的な価値をもたらしていることを改めて実証した」と述べられている。
こうしたハッカーたち──グーグルのより公式な表現を借りれば「外部セキュリティ研究者」──の活動がなければ、ChromeやGmail、あるいは皆さんのAndroidスマートフォンに関する脅威レポートが、安心できる締めくくりでまとめられることも少なくなっていただろう。以下、グーグルのハッキング報告書が明らかにした内容を数字で見ていこう。
2025年グーグル脆弱性報奨金プログラム報告書──数字で見る成果
最新の報告書は、このバグバウンティ(脆弱性発見報奨金)事業の15周年を記念するものだと、グーグルのディルク・ゲーマンとトニー・メンデスをはじめとする脆弱性報奨金プログラムチームは述べている。この15年間で「絶えず新たな要素が追加・拡充」され、「グーグルとそのユーザーの安全とセキュリティへの貢献」を可能にしてきたという。
このプログラムがいかに成功しているかは、世界中の700人以上のセキュリティ研究者に1700万ドル(約27億円)が支払われたという事実だけでなく、この金額が2024年の支払額から40%増加しているという点にも表れている。
2025年4月、グーグルは初のAI bugSWAT(バグスワット)を東京で開催した。bugSWATとは招待制のライブハッカソン(集中型ハッキングイベント)であり、この記念すべき第1回AI版ハッカソンでは70件以上の脆弱性レポートが提出され、40万ドル(約6400万円)の報奨金が支払われた。
続いて2025年6月には、カリフォルニア州サニーベールでCloud bugSWATが開催され、130件のレポートが寄せられ、報奨金の支払い総額は驚異的な160万ドル(約2億5000万円)に達した。
その後2025年8月にはラスベガスで、より幅広い分野を対象としたbugSWATが開催され、77件のレポートと38万ドル(約6000万円)が加わっている。
