Mozilla、バグ報奨金プログラムを拡大、脆弱性発見者への報酬を3倍に増額

Mozilla は、Firefox ブラウザの 15 周年を記念して、バグ報奨金プログラムをさまざまな新しいサイトやサービスに拡大し、なんと最大支払額を 3 倍にすることを決定しました。

つまり、Firefox や、Mozilla のあまり知られていないサービス（有料サブスクリプションサービス、VPN、ローカリゼーション、コード管理ツール、音声認識など）のリモートコード実行バグを修正できれば、15,000 ドルを獲得できる可能性があるということです。ただし、通常の注意事項が適用されます。

この決定により、セキュリティホールを発見したセキュリティ研究者への報酬に関して、Mozillaは業界最低水準に落ち込むことになる。例えば、Yahoo ! （覚えていますか？）は、最近のYahoo!のサービスに何らかのセキュリティホールを発見した研究者に対し、最大1万5000ドルの報酬を提供している。Snapchatも同様だ。

しかし、Mozillaの報奨金は他の大手IT企業とはまだ差があります。例えばIntelは、深刻度（サイドチャネル攻撃など）に応じて500ドルから10万ドルの範囲で報奨金を提供しています。一方、Microsoftは最高30万ドル、最低1万5000ドルの報奨金を提供しています。

Dropboxは最高3万3000ドル、Twitterは最高2万ドル。FacebookはFacebookなので、そもそも不正行為はしないので、最高額は設定していません。一方、GoogleはゲストモードでChromeOSをクラックできれば15万ドルの賞金を支給します。

でもちょっと待って！これは一体何？Huaweiもバグ報奨金ゲームに参入し、自社の携帯電話の脆弱性を見つけるためにGoogleよりも明らかに高額な報酬を提示している。

ファーウェイは、中国メーカーを国家安全保障上のリスクと断言し続けている米国政府をあからさまに批判する形で、Androidデバイス（Mate、P、Nova、Y9、Honor）に重大な脆弱性が見つかった場合、22万ドル、深刻度の高い脆弱性の場合は最大11万ドルの賠償金を支払うと発表した。一方、Googleはそれぞれ20万ドルと10万ドルの賠償金を提示している。

しかし、バグ報奨金制度の頂点に立つのはAppleだ。同社は今年初め、クリックやタップを必要とせずにiPhoneをハッキングする方法を解明した開発者に、最高20万ドルの報奨金を100万ドルに引き上げた。ユーザー操作を必要としないネットワーク攻撃を発見した場合、ベータ版ソフトウェアでバグが発見されれば50万ドルの報奨金に加え、50%のボーナスが加算される可能性がある。

しかしもちろん、自分の技術ノウハウを駆使して企業のソフトウェアを調査することに時間を費やそうとする人にとって、本当に重要なのは平均報酬額です。そして、それはあまり良いものではありません。テクノロジー企業全体で平均報酬額はかなり低いのです。

いずれにせよ、Mozilla が非営利団体であるにもかかわらず、市場の他企業に合わせてバグ報奨金を引き上げることを決定したことは、2 つのことを示しています。1 つは、バグ探しが比較的健全な状態にあり、企業が市場に従う価値があるということ。もう 1 つは、Mozilla が自社のサービスにさらに多くのユーザーを呼び込もうと大々的に取り組んでいるように見えるということです。

先月、Firefox の最新バージョンがリリースされ、同社は、Firefox と Chrome との主な差別化要因として、プライバシーに配慮した機能 (拡張トラッキング保護 (ETP) と呼ばれる) の推進を開始しました。

プライバシーの区別を徹底したいのであれば、Mozillaは、攻撃者が逆のことをして個人情報を盗むことを可能にするようなバグが、自社の新しい技術に存在しないようにする必要がある。だからこそ、バグ報奨金制度は強化されたのだ。

Firefox 1.0がリリースされてから15年が経ったという事実も、改めて考える価値があります。そして、Internet Explorerがどれほどひどいものだったか――主にセキュリティホールだらけだったことが原因です。®