答え公開済み一昨日Last edited 一昨日17 ソース

Google、深刻なクラウド脆弱性の報奨金を否認──研究者への「ナイスキャッチ」から一転、「仕様通り」と判断

セキュリティ研究者のJustin O'Leary氏が、Google Cloud Config ConnectorにCVSS 10.0のIAM認可バイパス脆弱性（ConfigConfusion）を発見。この事例は、Googleのバグ報奨金エコシステムにおける緊張の高まりを浮き彫りにしている。2026年5月初旬、GoogleはChromeとAndroidのVRPを刷新し、AI生成レポートの急増を理由にChromeの報奨金を削減した。

Studio Global AIで検索して事実確認さらにトレンドページを見る

10K0

Abstract illustration of a Kubernetes cluster with a lock being bypassed by an unauthorized user, representing the ConfigConfusion IAM bypass vulnerability in Google Cloud Config C — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnThe ConfigConfusion vulnerability allows a Kubernetes namespace user to bypass GCP IAM controls and escalate to full organization-level admin rights.
AI プロンプト
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
openai.com

今年最も不可解なセキュリティポリシーの逆転劇の一つとして、GoogleがクラウドのConfig Connectorにおける重大な未修正脆弱性に対するバグ報奨金を拒否した——しかも、最初は研究者を称賛し、脆弱性を最高深刻度に分類した後で、の方針を翻した。この一件はThe Registerが最初に報じたもので、セキュリティコミュニティはGoogleの研究者に対する信頼の置き方や、クラウドインフラのバグへの対応姿勢に疑問を呈している。

ConfigConfusion脆弱性とは

セキュリティ研究者Justin O'Leary氏が発見したのは、Config Connector（組織がKubernetesを通じてGoogle Cloud環境全体を管理できるオープンソースのKubernetesアドオン）における重大な欠陥である。彼はこのバグをConfigConfusionと名付けた。

技術的詳細： Config Connectorは、Kubernetes名前空間のユーザーがGCPリソースを管理しようとする際に認可チェックを実施しない。これにより、組織レベルの権限を持つConfig Connectorサービスアカウントであれば、GCPのIdentity and Access Management（IAM）制御を迂回し、GCP組織全体（Google Cloudにおける全企業リソースのルートノード）において最高レベルの制御権限であるroles/ownerへと昇格できてしまう。O'Leary氏はこの欠陥をCVSS 10.0（最大深刻度スコア）と評価している。基本的なKubernetes名前空間アクセス権を持つ攻撃者が、組織のクラウド環境全体とそこに保存されたすべてのデータに対する完全な管理制御権を獲得できるからだ。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AIで検索して事実確認

人々も尋ねます