グーグルは、ユーザーのセキュリティを真剣に考えている。実際、2025年だけで、同社は自社製品のセキュリティ脆弱性を発見し、責任ある形で報告した外部のセキュリティ研究者、あるいはハッカーと呼んでもよい人々に、「グーグル脆弱性報奨金プログラム(グーグル VRP。Google Vulnerability Reward Program)」において、総額約1700万ドル(約26億5200万円。1ドル=156円換算)を支払った。
そして今回グーグルは、「アンドロイド脆弱性報奨金プログラム(アンドロイド VRP)」において、Pixelスマートフォンを標的にした単独の攻撃手法を作成できた人に、破格の150万ドル(約2億3400万円)を支払うと発表した。
編注:グーグル脆弱性報奨金プログラム(グーグル VRP)は、グーグルにおけるすべての報奨金プログラム群を束ねる総称。アンドロイド脆弱性報奨金プログラム(アンドロイド VRP)は、グーグル VRP傘下の報奨金プログラムの1つ。
Pixelが搭載するTitan M2チップへのフルチェーン攻撃を中心に据える
「特に影響力の大きい一部の攻撃手法が、依然として極めて達成困難なものであることを私たちは理解しています。そして、それらを発見し明るみに出すために、研究者コミュニティと協力できたことを大いに評価しています」──そう共同発表で述べたのは、アンドロイド担当ディレクターのシャイレッシュ・サイニ、グーグルの情報セキュリティエンジニアのアレックス・ゴフ、そしてテクニカルプログラムマネージャーのトニー・メンデスの3名だ。
今回刷新されたアンドロイド VRPが中心に据えるのは、まさにそうした難度の高い攻撃手法だ。具体的には、Pixelに搭載されたTitan M2セキュリティチップを、ゼロクリックで完全に侵害し、しかも永続性を確保する「フルチェーン」攻撃手法だ。
ハッキング自体は犯罪ではない──だからこそグーグルは報奨金を支払う
筆者がこれまで何度も繰り返し述べてきたように、ハッキング自体は犯罪ではない。すべてのハッキングが悪いわけではなく、悪いのは犯罪としてのハッキングだけである。私たちが日常的に使うハードウェアやソフトウェアの脆弱性を、セキュリティ研究者が合法的かつ倫理的に発見し、報告してくれなければ、世界ははるかに危険な場所になる。脆弱性報奨金プログラム、一般にいうバグバウンティは、セキュリティを保つうえで重要な仕組みである。
だからこそグーグルは2025年、グーグル VRPに参加するハッカーたちに1700万ドル(約26億5200万円)を支払ったのだ。
グーグルは4月30日のバグハンター向け投稿で、「アンドロイドとChromeの双方で、最高ランクの報奨金を引き続き重視することで、この協力関係をさらに発展させたい」と述べた。そして同社は、まさにそれを実行している。
アンドロイド VRP刷新で、報奨金が約2億3400万円に引き上げられる
AIの進化に伴ってハッキングを取り巻く状況が変化する中、グーグルは「自社製品における最も困難で影響の大きい脆弱性」に報奨金を出すとしている。
今回同社は、Pixelスマートフォン内のTitan Mセキュリティチップを狙い、ユーザー操作なしで成立する「フルチェーン」のゼロクリック攻撃について、さらに永続性を伴う場合の報奨金を、すでに高額だった100万ドル(約1億5600万円)から、まさに驚くべき150万ドル(約2億3400万円)へと引き上げた。同じ攻撃を永続性なしで実現した場合でも、グーグルは少しも見劣りしない75万ドル(約1億1700万円)を支払う。
グーグル VRPについての詳細、および発見したセキュリティ上の問題の報告は、同プログラムの専用サイトから行うことができる。
