Googleは、ウェブを介して「Chromebook」をハッキングする方法を見つけた人に10万ドルの報奨金を提供することにした。
これで、2015年には5万ドルだった報奨金最高額が2倍に引き上げられた。この報奨金は、「ゲストモード」のChromebookに対する持続的攻撃を対象としている。つまり、再起動しても攻撃者のコードが端末に残り、その後のゲストモードセッションに影響を与える攻撃である。
Chromebookにおいて、ゲストモードは、端末共有を可能にすることを目的としたロックダウン状態であり、所有者のChromeプロファイルの改ざんを防止し、また、セッション終了時にはブラウザデータとクッキーが必ず削除される。
しかし、Googleが米国時間3月14日に概要を示したように、「Chrome Reward Program」の下でChromebookに5万ドルの報奨金をかけてからの1年間で、適切な報告が1つもないという。
「とはいえ、素晴らしい調査結果には素晴らしい報奨が与えられるべきであるため、われわれは報奨金を6桁(10万ドル)に引き上げることにした。この金額は1年間有効で、割当や賞金総額上限は設けられない」とGoogleセキュリティチーム担当者らは述べている。
Googleの報奨ページには次のように記載されている。「Chromebookまたは『Chromebox』を対象に、ウェブページを介して、ゲストモードにおいて端末に持続する攻撃、つまり、再起動をはさんでもゲスト間で持続する攻撃を仕掛けることができる参加者に、10万ドルの報奨金を提供する」
Googleは以前、「Pwnium」ハッキングコンテストにおいて、Chromebookを対象とする同じ攻撃に対してさらに高額の報奨金を提供したことがあるが、それは、1年間有効なものではなく、コンテスト規約に基づいて1日間のみ有効な賞金だった。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」