GoogleはAndroidアプリ「バグ発見報奨金プログラム」を拡大し、インストール数が1億以上のAndroidアプリを対象に加えました。このプログラムはGoogle製以外のサードパーティアプリに対してもバグ発見報奨金が支払われるのが特徴です。
Googleは米現地時間8月29日、脆弱性報酬プログラム「Google Play Security Reward Program」(GPSRP)の拡大と、新たなプログラム「Developer Data Protection Reward Program」(DDPRP)の立ち上げを発表しました。
「GPSRP」は2017年に立ち上げたGoogle Playに登録されているアプリのバグや脆弱性の発見に報奨金を支払うプログラムです。
独立系バグバウンティプラットフォームの「HackerOne」との提携を通じて、対象アプリの脆弱性を発見した研究者に報奨金を提供するという仕組みとなっています。
バグ報奨金プログラムはよくある仕組みですが、「GPSRP」ではGoogle製以外のサードパーティアプリに対しても報奨金が支払われるのが特徴となっています。
これまで対象となっていたのはこれまでは開発者側が選択した人気のあるごく一部のアプリだけで、バグを見つけた場合にも、Googleに連絡をするのではなくまずアプリ開発者への報告が必要でした。実際にバグ修正が行われると報奨金の請求が行える仕組みです。
しかし今後はこの制限を撤廃し、Google Playで1億以上インストールされているアプリが報奨金の対象となります。
開発者が独自の報奨金プログラムを持っていなくても、1億以上インストールされているアプリが対象になり、開発者もプログラムを持っている場合は報告者はGoogleと開発者の双方から報酬金を得られる仕組みとなっています。
アプリ開発者にとっては積極的にバグ発見を行う動機づけになるとともに、GoogleもGoogle Playをより安全にできるわけです。
Googleによると、これまでGPSRPを通じて受け取った脆弱性に関する報告は無駄にはなっておらず、全ての報告はカタログ化されてシステムに組み込まれていてストアの他のアプリを自動的にスキャンして同じ問題がないかを調べるために利用されています。
この「App Security Improvement(ASI)」と呼ばれるシステムは、GoogleがGPSRP通じて得たセキュリティ研究者の調査の成果を最大限に活かすのに役立っています。
ASIはこれまでに、30万社の開発会社がGoogle Playの100万件以上のアプリを修正するために利用されたと言われています。
また「GPSRP」とは別に、AndroidアプリやChrome拡張などのデータ不正利用発見に対する報奨プログラムDeveloper Data Protection Reward Program(DDPRP)も開始されました。
こちらはバグや脆弱性ではなく、ユーザーデータの悪用を発見するためのものです。検証可能な方法で明確な証拠を提供報告できた場合に報奨金の対象となります。報奨金は、最大で5万ドル(約530万円)になるとのことです。
ユーザーデータが予期せずに使用または販売されていたり、ユーザーの同意なし不正な方法で転用されていたりするのを特定した場合には、そのアプリはGoogle PlayやGoogle Chrome Web Storeから削除される仕組みとなります。