Intel、サイドチャネルの脆弱性発見に最大2,600万円の懸賞金

　米Intelは14日(現地時間)、2017年3月より開始したセキュリティ脆弱性の発見に関する「Bug Bounty」プログラムを更新した。

　Bug Bountyプログラムは、セキュリティ研究者がIntel製品に潜む潜在的な脆弱性を発見した場合、それをIntelに対して機密報告する仕組み。対策が練られるまでに脆弱性情報を機密にしておけば、ユーザーのリスクを最小限に抑えられ、悪用される前に解決策を提供できるようになるのがメリットだ。

　これまでは招待制のプログラムだったため、一般のセキュリティ研究者は参加できなかったが、Intelはユーザーのセキュリティ保護を最優先するため、Bug Bountyプログラムを更新した。今回のプログラムのアップデート内容は下記のとおりとなる。

・招待制プログラムから、すべてのセキュリティ研究者に公開するプログラムへと以降。資格のある研究者のプールを大幅に拡大
・2018年12月31日までは、サイドチャネルの脆弱性に特化した新しいプログラムを提供。懸賞金は最大25万ドル(約2,668万円)
・ほかの分野でも懸賞金を引き上げ、最高10万ドルの懸賞金(約1,067万円)を支払う

　1月初旬に話題になったSpectre/Meltdownの脆弱性も、もともとは2017年6月にGoogleの研究者がIntelに対して報告したもので、秘密裏に対策が行なわれ2018年1月9日に公開予定だったのだが、海外メディアが1月3日に大きく取り上げたため、IntelやGoogleは情報公開の前倒しを迫られた経緯がある。