Mozilla、セキュリティバグ情報への報奨金を3,000ドルに増額

Firefox ウェブブラウザを開発する組織 Mozilla は、自社製品のセキュリティバグに関する情報に対してセキュリティ研究者に支払う金額を 500 ドルから 3,000 ドルに引き上げた。

この変更は、Mozilla が 2004 年に開始したセキュリティ バグ報奨金プログラムの刷新と呼ぶものの一環だ。

「Mozillaプログラムが発表されてから6年で多くのことが変わりました。ユーザーを安全に保つ最善の方法の一つは、セキュリティ研究者が情報を開示する際に適切な対応を行えるように経済的に持続可能なものにすることだと考えています」と、セキュリティエンジニアリングディレクターのルーカス・アダムスキー氏はブログ投稿に書いている。

Mozillaは報奨プログラムの対象範囲を拡大し、FirefoxとThunderbirdメールクライアントに加え、Firefoxモバイルブラウザやこれらの製品が利用するその他のサービスにも引き続き適用されます。リリース版およびベータ版製品も対象となります。

「これらは、私たちが伝統的に裁量で報奨金を支払ってきた製品ですが、それを明確にしたかったのです」とアダムスキー氏は書いている。

しかし、Mozilla は研究者がユーザーの最大の利益のために行動していないと判断した場合、その研究者への報酬の支払いを拒否することができるとアダムスキー氏は書いている。

ただし、プログラムの他の部分は維持されます。研究者が脆弱性に関する情報を公開した場合や、Mozillaのセキュリティチームと緊密に連携する時間がない場合でも、報奨金は支払われます。