概要

Googleは、その脆弱性報奨プログラム（VRP）において、2025年に過去最高の1700万ドルを超える支払いを行ったことを発表しました。これは、2024年から40%増加した記録的な数字であり、同プログラムが設立されて以来15周年を迎えました。

脆弱性報奨プログラムの2025年の主要な統計

Googleは、世界中の700人以上のセキュリティ研究者に財政的な報酬を提供し、悪意のある攻撃者がそれらを利用する前に重要な脆弱性を見つけ出して報告するよう奨励しました。

AIセキュリティへの注力

2025年には、Googleが人工知能（AI）のセキュリティに焦点を当てた新たなプログラムを立ち上げました。これにより、研究者たちに対してより明確なテスト範囲と報奨ガイドラインが提供されるようになりました。

ChromeブラウザVRPの拡大

また、GoogleはChromeブラウザVRPを拡張し、AI機能に起因するセキュリティ問題に対する特定の報奨カテゴリを導入しました。これには、Gemini統合なども含まれます。

ライブハッキングとオープンソースセキュリティ

Googleは、OSV-SCALIBRというオープンソースツールのパッチ報奨プログラムを導入しました。このツールはソフトウェア依存関係における脆弱性を見つけるために設計されています。

主要なイベントハイライト

• 東京AIバグSWAT（4月）：70件以上の報告、総額40万ドル以上を支給
• サンノゼクラウドバグSWAT（6月）：130件の報告、参加者に総額160万ドルを支給
• ラスベガスバグSWAT（8月）：77件の報告、セキュリティ研究者に総額38万ドルを支給
• メキシコシティAI、アンドロイド、クラウドターゲット向けバグSWAT：107件の報告、56万6千ドルを支給

今後の展望

サイバー脅威が進化し続ける中、Googleは外部セキュリティコミュニティとの協力を継続的に強化しています。 2026年にはさらに多くのバグSWATイベントを開催する予定であり、ESCAL8サイバーセキュリティカンファレンスの次のエディションも計画されています。独立した研究者たちの努力を評価し続けることで、新興脅威に対応し、製品とサービスのセキュリティを継続的に強化するという目標を達成します。

---

元記事: https://gbhackers.com/googles-bug-bounty-program-hits-record-17-million/