1億インストール以上のAndroidアプリがバグ発見報奨金の対象に

　Googleは米国時間8月29日、同社のバグ発見報奨金プログムを拡大し、「Google Play」ストアで提供されている、インストール数が1億以上の「Android」アプリを対象に加えた。

　今後は、セキュリティ研究者がこれらのアプリの脆弱性をGoogleに報告した場合、有効なバグ報告にはGoogleから報奨金が支払われることを意味している。

　Google Playストアで提供されているインストール数が1億以上のすべてのAndroidアプリは自動的に対象となり、開発会社が登録などの作業をする必要はない。

　Googleは「HackerOne」プラットフォームの「Google Play Security Reward Program（GPSRP）」を通じてすべてのバグ報告に対する初期対応を行い、その後脆弱性に関する情報を開発会社に伝える。アプリの脆弱性が修正されない場合、Googleはそれらのアプリをストアから削除する。

　FacebookやMicrosoft、Twitterなどの、自前のバグ発見報奨金プログラムを持っている開発会社のアプリも、GPSRPの対象となる。

Googleは最近アプリのバグ報告に対する報奨金を引き上げていた

　GPSRPがスタートしたのは2017年のことだ。最初の3年間は、遠隔からコードを実行可能な脆弱性に対しては最大5000ドル（約53万円）、個人情報の窃盗が可能な脆弱性や、アプリの保護されているコンポーネントにアクセス可能な脆弱性に対しては、最大1000ドル（約11万円）の報奨金が支払われていた。

　Googleは以前から、社外のアプリもこのプログラムの対象にしていたが、この仕組みが利用されることはあまりなく、セキュリティ研究者はGoogleのほかのバグ発見報奨金プログラムに力を注ぐ傾向があった。これまでにGPSRPで支払われた報奨金は26万5000ドル（約2800万円）にすぎないが、同社のほかのバグ発見報奨金プログラムでは数億ドルが支払われている。

　同社は7月に、プログラムへの参加を促すために、遠隔からコードを実行可能な脆弱性に対する報奨金を最大2万ドル（約210万円）に、またほかの2つに対する報奨金を最大3000ドル（約32万円）に引き上げた。

　さらに、当初は人気の高いアプリのごく一部（Googleが人間の判断で選んだもの）だけがGPSRPの対象となっていたが、8月29日以降は、1億回以上ダウンロードされたすべてのAndroid用のアプリやゲームが自動的に対象となる。これによって、Google Playストアのバグ発見報奨金プログラムの魅力はさらに大きくなるとみられる。

Googleはこれまでもバグ報告の情報を活用していた

　この仕組みは一見、Googleがサードパーティーアプリのバグ発見に対して自腹を切って報奨金を出しているように見えるが、同社はこれには具体的なメリットが存在すると述べている。

　同社によれば、これまでの3年間でGPSRPを通じて受け取った脆弱性に関する報告は無駄にはなっていないという。すべての報告はカタログ化されてシステムに組み込まれ、ストアの他のアプリを自動的にスキャンして、同じ問題がないかを調べるために利用されている。

　この「App Security Improvement（ASI）」と呼ばれるシステムは、GoogleがGPSRP通じて得たセキュリティ研究者の調査の成果を最大限に活かすのに役立っている。

　同社は「ASIはこれまでに、30万社の開発会社がGoogle Playの100万件以上のアプリを修正するために利用された」と述べている。

　Googleはさらに、新たなバグ発見報奨金プログラム「Developer Data Protection Reward Program（DDPRP）」の開始も発表した。これはAndroidアプリ、OAuthプロジェクト、「Chrome」拡張機能のデータ不正利用の発見を促すものだ。