Googleが「ナイスキャッチ！」と絶賛した重大バグ、報奨金を拒否し放置——CVSS 10.0の脆弱性をめぐる3ヶ月の迷走

研究者らはこの攻撃を「ConfigConfusion」と名付けています。この攻撃はわずか約5秒で実行でき、痕跡も残らないとされています。

Googleの矛盾した対応の時系列

この件は約3ヶ月にわたって放置されており、修正も報奨金も支払われていません。

1. 初期受付：「Nice catch!」
   Googleのバグ報奨金チームは当初、この報告をトリアージし、高優先度/高重要度に分類。Google担当者はオリアリー氏を「Nice catch!」と賞賛しました。

2. 報奨金拒否：「仕様通り」
   その後Googleは方針を転換し、報告をクローズ。動作は**「仕様通り（working as intended）」**であるとし、プログラムのルール上、有効な脆弱性とは認められないと宣言。報奨金は支払われませんでした。

3. 修正なし、未解決のまま
   2026年6月18日現在、この脆弱性は未修正のままです。GoogleはConfig Connectorにパッチを適用しておらず、オリアリー氏への報奨金も提供していません。

オリアリー氏は、報告ステータスが今も「高優先度・受理済み」と表示されていることから、Googleの対応の矛盾を指摘しています。

背景：2026年のGoogle VRP（脆弱性報奨金プログラム）抜本改革

2026年4月末から5月初めにかけて、GoogleはChromeとAndroidの脆弱性報奨金プログラム（VRP）を抜本的に見直しました。理由はAIが生成する報告の急増です。

• Chromeの報奨金は減額——Googleは「実用的（actionable）」で影響度の高いバグを優先するよう報奨金を再構築し、AIツールで大量生成できる低インパクトの報告に対する報奨を明確に減額。
• Androidの最高報奨金は増額——永続的なTitan Mゼロクリックエクスプロイトに対する最高報奨金を150万ドルに引き上げ、AIが簡単には見つけられない深いハードウェアレベルのバグを対象に。
• Googleは「AndroidとChrome全体で一部の報奨金額とボーナスを削減する」と述べ、**「量よりも品質と現実世界での影響」**に焦点を当てると説明。

オリアリー氏のケースはCloud VRP（ChromeやAndroidとは別プログラム）の対象ですが、AIノイズの増加を理由に報奨金を削減する中で、手動で発見された深刻な脆弱性に対しても報奨金の支払いを渋るGoogleの姿勢が浮き彫りになっています。

研究者と業界の反応

この一件は、セキュリティ研究者コミュニティに衝撃を与えています。Googleが「仕様通り」とした根拠について、オリアリー氏や他の研究者は、Config Connectorの設計上の問題——namespace分離の原則に反するIAMバイパス——が軽視されていると批判しています。また、Cloud VRPのルールには「お客様が所有するリソースに対するテストは対象外」という条項があるものの、今回の脆弱性はGoogleが管理するサービスそのものの欠陥であるため、この条項の適用は不適切との見方が強いです。

現時点では、この脆弱性に対する公式なCVE識別子は発行されていません。Googleからの公式声明も出ていません。