「Google Chrome」のバグ報奨金プログラム--金額の妥当性に疑問符も

　Googleは、セキュリティ研究者の気を引いて「Google Chrome」ブラウザの脆弱性を探してもらうため、コード内で発見されたバグに500ドルを支払うと発表した。しかし、複数の専門家が、この金額では高度なスキルを持つ脆弱性研究者を動機付けることはできない、と述べている。

　「これはばかげていると思う。侮辱しており、あまりにも安すぎる」。Independent Security Evaluatorsのシニアセキュリティ研究者であるCharlie Miller氏は米国時間2月8日、Googleの新しいバグ報奨金プログラムについての意見を求められ、こう答えた。

　Googleが1月末に発表した「実験的」な新しいインセンティブプログラムでは、Chromeで発見された、特に興味深い独自のセキュリティ脆弱性に500ドル、とりわけ深刻なバグまたは巧妙なバグには1337ドルがそれぞれ支払われる。この金額は、「エリート」を意味し、1337という数字で表せるコンピュータマニアの隠語「leet」に由来している。

　Mozilla Foundationは、「Firefox」ブラウザや「Thunderbird」電子メールクライアントの有効なセキュリティバグを発見した研究者に対し、500ドルを支払っている。

　WhiteHat Securityの共同創設者で、最高技術責任者（CTO）を務めるJeremiah Grossman氏は、Googleの計画によって興味深いトレンドが始まるかもしれないと言う。

　「純粋に金銭的な報酬に興味のある研究者は、何が何でも金額が最も高いところへ行くべきだ。しかし、自分にとって楽しくて興味深いという理由でたまたまバグを発見した場合は、それでお金をもらうこともできる。わたしは長い間、Microsoftもこうしたプログラムを実施すべきだと提案してきたが、同社にはこれに関して道義的な問題がある」（Grossman氏）

　Microsoftは報奨金プログラムを採用しない立場を貫いている。

　MicrosoftのTrustworthy ComputingグループマネージャーであるDave Forstrom氏は、次のように述べた。「Microsoftは、セキュリティ脆弱性に関する情報に報酬を支払わない。われわれは、脆弱性情報に報酬を支払うことがわれわれの顧客を守るために役立つ最善の方法だとは考えていない。それが健全なエコシステムの成長を促すとも思わない」

　研究者が多くの場合無償で行っている作業に対価を申し出たことで、Googleは大いに賞賛されるだろうと考える人もいるかもしれない。しかし、すべての人が感心しているわけではない。