米グーグルは2012年2月27日、同社Webブラウザー「Chrome」の脆弱性(セキュリティ上の欠陥)を見つけるコンテスト「Pwnium」を実施することを明らかにした。新たな脆弱性を報告すると、1件当たり最大6万ドルの賞金を提供。総額100万ドルに達するまで、報告者全員に提供する。
コンテストは、3月7日から12日にかけてカナダで開催されるセキュリティカンファレンス「CanSecWest」に合わせて実施される。コンテストのカテゴリーは以下の3種類。報告した脆弱性の種類によってカテゴリーが異なり、賞金も異なる。
(1)「Full Chrome exploit」――賞金6万ドル。ユーザー権限を奪取できるようなChromeの脆弱性を報告
(2)「Partial Chrome exploit」――賞金4万ドル。ほかの脆弱性(例えば、Windowsの脆弱性)と組み合わせれば、ユーザー権限を奪取できるようなChromeの脆弱性を報告
(3)「Consolation reward, Flash / Windows / other」――賞金2万ドル。ChromeやほかのWebブラウザーのユーザーが影響を受ける、Chrome以外の脆弱性を報告。Flash PlayerやWindows、ドライバーなどの脆弱性が該当する
いずれのカテゴリーついても、同社のノートパソコン「Chromebook」が副賞として贈られる。
受賞の対象になるのは、未公表の脆弱性に限られる。加えて、脆弱性の詳細全てを同社に報告する必要がある。賞金総額が100万ドルに達するまで、報告者全員に賞金を提供する。
同社以外の製品に関する脆弱性が報告された場合には、該当のメーカーに速やかに報告するとしている。
米グーグルでは2011年、同じくCanSecWestで実施されている脆弱性発見コンテスト「Pwn2Own」にスポンサーとして参加。賞金の一部として2万ドルを提供した。同コンテストでは、Chromeだけではなく、Internet ExplorerやSafari、Firefoxも対象としている。
2012年のCanSecWestにおいても、Pwn2Ownは実施される予定。グーグルも2011年同様、スポンサーとして参加する予定だったが、Pwn2Ownがルールを変更したために参加を取りやめた。具体的には、今までは、参加者は発見した脆弱性の詳細全てを提出する必要があったが、2012年からはその条件がなくなったという。
このためPwn2Ownは、ユーザーの安全を守るために有用ではなくなったとする。そこで同社では、Pwn2Ownの代わりに、前述のコンテストPwniumを開催することにしたと解説している。
