Google、Chromeのエクスプロイトコンテスト、合計100万ドルの賞金

　米Googleは、3月7日からカナダ・バンクーバーで開催されるセキュリティカンファレンス「CanSecWest 2012」において、Google Chromeのエクスプロイトに対して合計100万ドルの賞金を提供する独自のコンテストを行うと発表した。

　恒例のハッキングコンテスト「Pwn2Own」がルールを変更したことが背景にある。新ルールでは、コンテスト参加者が完全なエクスプロイトやすべてのバグの情報を提出する義務がなくなったとGoogleは指摘する。

　しかしGoogleは、セキュリティ向上のために「完全なエクスプロイトの入手は不可欠」だとしている。その理由として、バグを修正できるだけでなく、「脆弱性やエクスプロイトの技術の学習によって、Google内での緩和措置、自動テスト、サンドボックス強化が期待」でき、Chromeのセキュリティを強化することができるという。

　これまでPwn2Ownコンテストでは、Internet Explorerなどの主要ブラウザーが挑戦を受け、多数の問題が発見されてきたが、Chromeはこれまでに敗れたことがない。その結果、セキュリティの強固さで高い評価を受けることにもなった。今回のGoogle側の示した考え方がセキュリティ強化につながると言えるかもしれない。

　Googleが提供する賞金は3カテゴリー。それぞれ6万ドル、4万ドル、2万ドル部門に分けられている。6万ドル部門は、Windows 7のローカルOSユーザーアカウントにおけるChromeのみのエクスプロイトが対象。4万ドル部門では、同じくWindows 7のローカルOSユーザーアカウントでChromeのバグと他社のバグとの組み合わせによるエクスプロイトに対して、2万ドル部門では、同OS環境でChromeのバグではなくFlashやWindowsなど他のバグを利用したエクスプロイトに対して提供される。Googleは最大で100万ドルの賞金を提供するとしている。また、賞金に加えてそれぞれに対してChromebookも提供する。

　すべてのエクスプロイトは、信頼性があり、かつ完全に機能する必要があり、コンテスト以前にサードパーティにより共有されていたり、知られているものであってはならない。Googleでは、このコンテスト中に発見されたChrome以外のバグについては、該当ベンダーに直ちに通知するとしている。