セキュリティ問題に強いAndroidアプリ開発者なら、Googleにスキルを貸して報酬をもらいましょう。ハッカーは、マルウェアに感染したアプリをGoogle Playショップに仕掛けることに成功し、その一部は数百万ダウンロードを記録しています。

これを受けて、Googleはバグバウンティプログラムを開放し、開発者に一般的なアプリのセキュリティ問題を掘り起こさせるようにしました。従来は一部のアプリのみが対象でした。現在、Playストアの人気アプリはすべてこのプログラムの対象になっています。このプログラムは、セキュリティ上の問題を発見し報告した開発者に報奨金を支払うものです。

Googleがバグバウンティプログラムを導入した理由

以前から、Googleは自社製アプリのバグ報奨金制度を提供しています。多くの企業と同様に、Googleもウェブサイトで問題を発見した開発者に報酬を与えています。また、ChromeブラウザやChromeオペレーティングシステムのバグを発見した場合にも報酬が支払われます。しかし、最近では、他社のアプリケーションで発見された脆弱性に対して報奨金を出すという、より過激な行動に出ている。

Play Storeのバグバウンティプログラムの最初のイテレーションは、ごく少数のトップアプリケーションにのみ適用されました。今回、Googleはこのプログラムを、Playストアで1億回以上インストールされたすべてのアプリに拡大しました。これは、アプリ開発者が独自のバグ報奨プログラムを提供していなくても、バグ発見者がPlayストアアプリの問題を発見し、報告することで報奨金を得る機会が増えることを意味します。

Googleは、「すべての人のセキュリティを向上させるために、コミュニティに協力してもらう」ことを期待して、このプログラムを立ち上げたと述べています。そのため、バグを発見したバグハンターは、アプリ開発者だけでなく、Googleにも報告するように呼びかけています。これにより、オリジナルアプリの開発者は、バグを迅速に修正することができるようになりました。これは、Androidアプリを利用するすべての人にとって、セキュリティが向上することを意味します。

ナンキンムシバウンティ」制度への参加方法

Game Store 脆弱性報奨プログラムは、Google Game Security Rewards Program (GPSRP)と呼ばれるものです。Googleは、セキュリティ研究者やアプリ開発者に参加を呼びかけています。まず、入会申込書に必要事項を記入します。承認されると、Playストア上の対象アプリのセキュリティ問題を調べることができるようになります。

参加者が探すべき脆弱性は、3種類あります。まず、リモートコード実行脆弱性とは、ハッカーがユーザーの端末にアクセスし、変更を加えることができる脆弱性のことです。これらはセキュリティ上、非常に重大な問題です。

第二に、安全でない個人情報の盗難の問題がある。これは、ハッカーがログイン情報、ウェブ履歴、連絡先リストなどの個人情報を盗み出すことができる脆弱性です。

第三に、保護されたアプリケーション・コンポーネントへのアクセスである。これは、許可されていない機能を実行するアプリケーションを指します。例えば、ユーザーの許可が無くてもSMSメッセージを送信できるアプリケーション。

また、セキュリティ上の問題については、計画ではカバーされていません。例えば、フィッシング攻撃は潜在的に危険ではあるが、その対象とはならない。これは、悪意のあるコードを実行するのではなく、ユーザーを騙すことで機能するためです。また、デバイスへの物理的なアクセスを必要とする攻撃は対象外です。

バグを見つけたら、そのアプリケーションの開発者に連絡する必要があります。その後、開発元と協力して問題を解決することができます。バグが解決されたら、Googleに申請して、現金報酬を得ることができます。

アプリによるデータの不正利用を発見した場合のボーナスについて

Googleは、セキュリティ上の欠陥を発見した場合に報酬を提供するだけではありません。ユーザーデータを盗むアプリを取り締まろうとしているのです。同社は最近、データを悪用しているアプリを発見した開発者に同様の報奨金を提供する「開発者データ保護報奨プログラム（DDPRP）」を開始しました。

このプログラムが探しているデータ不正利用の種類は、Googleのプライバシーポリシーに違反する方法でユーザーデータを収集し、販売しているアプリケーションです。例えば、ユーザーの連絡帳から、いつ誰に電話をかけたかを示すメタデータなどのデータを、機密データとして保護することなく収集するアプリがこれにあたると考えられます。

また、SMSのアクセス権を持ちながら、そのアクセス権を使用してユーザーのSMSメッセージに関するデータを収集し、第三者に提供するアプリケーションなど、アクセス権の規則に違反するアプリケーションも対象となります**。あるいは、連絡先データへのアクセス許可を要求し、そのデータを無関係のアプリケーションに再利用するアプリケーションを対象とします。

どのような種類のデータ不正利用がプログラムの対象となるかの詳細については、DDPRPのウェブサイトをご覧ください。バグバウンティ制度と同様に、Playストアで1億インストール以上のアプリが対象となります。

バグ発見時の報酬

バグバウンティとデータ不正利用手続きの両方に現金報酬が用意されています。1つの報告書に対して支払われる金額は、問題の深刻さによって異なります。また、Googleに提出されるレポートの質にもよります。

Google Playセキュリティリワードプログラムの報酬は、リモートコード実行の脆弱性に対して5,000ドルから20,000ドル、保護されていない個人データの盗難に対して1,000ドルから3,000ドル、保護されたアプリケーションコンポーネントへのアクセスに対して1,000ドルから3,000ドルとなっています。また、これらの脆弱性をアプリケーション開発者に責任を持って開示することのメリットもあります。これによって、開発者は問題に対処する機会を得ることができます。

開発者データ保護奨励制度の賞金は、100ドルから1000ドルの範囲です。アワードに応募するには、レポートの提出が必要です。どのデータポリシーに違反したのか、データがどのように悪用されたのか、アプリケーションがいつポリシーに違反したのかの一覧を書き出す必要があります。

セキュリティ侵害を検索してお金を稼ぐ

Googleの脆弱性バウンティとデータ不正利用バウンティプログラムは、あなたにお金を稼ぐ機会を提供します。また、Playストアを通じて配信されるアプリのセキュリティ向上にも貢献します。もっと虫探しの機会を増やしたいという方は、他社のプログラムもチェックしてみてください。例としては、お小遣いを稼ぐためのひどいカメムシの懸賞金制度一覧をご覧ください。