Sponsored Contents

appleの最新記事

Image credit:
Save

アップルもバグ報奨金プログラム開始、最高20万ドル支給もまずは少数経験者から。Black Hatにて発表

Munenori Taniguchi, @mu_taniguchi
2016年8月5日, 午後06:00 in Apple
75シェア
0
75
0

連載

注目記事

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

View
AirPods Pro実機をソニーのWF-1000XM3と比較 ノイズキャンセリングの決定版は?(追記)

AirPods Pro実機をソニーのWF-1000XM3と比較 ノイズキャンセリングの決定版は?(追記)

矢崎 飛鳥, 10月29日
View
アップルがセキュリティ関連のカンファレンス「Black Hat」にて、バグ報奨金プログラムを発表しました。アップル製品で発見したセキュリティ脆弱性を内密に報告すれば、その重要度に応じて最大20万ドル(約2020万円)の報奨金を提供します。

同種の報奨金システムはFacebookやTwitterなどが採用しているのが知られており、時折1万ドルを超える高額な報奨金を受け取るホワイトハッカーが現れたりします。しかしアップルはこれまで正式なバグ報奨金制度は設けていませんでした。

アップルのセキュリティ技術責任者Ivan Krstic氏がBlack Hat で語ったところではアップルが社内テスターと外注のセキュリティ調査会社によるデバッグ体制では脆弱性の洗い出しに限界があるという認識に至ったとのこと。ただ、9月からのプログラム開始初期では、これまでにアップルの脆弱性発見に協力した経験を持つ20人ほどの参加者に限定し、少しずつ参加条件を緩和し、人数を拡大していくとしています。

気になる脆弱性発見への報奨金は、脆弱性の報告を受け付ける項目のなかで最も高額なのがセキュアブート・ファームウェア関連の脆弱性発見で最高20万ドル。以下、セキュアエンクレーブに保護される機密情報へのアクセスなどが最高10万ドル、カーネル権限による任意コードの実行や、iCloudのアカウントに絡むデータの不正取得などが最高5万ドル。そして、サンドボックス化したプロセスからその外側にある個人データへのアクセスが最高2万5000ドルとなっています。

セキュリティ企業SecurosisのCEOでiOSセキュリティアナリストのRich Mogullは、この報奨金制度について「私が知る限り最大規模の金額が用意されている」と語っています。

Twitterは過去2年間にバグ報奨金として総額32万2420ドル(約3600万円)を支払いました。Facebookも、社内サーバーにフルアクセスできる脆弱性の報告者や、Instagramの脆弱性を報告した10歳の少年に対して1万ドル(約101万円)を支払ったと公表していました。

ただ、報奨金の高額化はいいことばかりとも限りません。2015年に発生したサンバーナーディーノ銃乱射事件では犯人の一人が所持していたiPhone 5Sのロック解除をめぐってFBIとアップルが争っていましたが、結果的にFBIは100万ドル(約1億1000万円)を超えるお金を払ってハッカーからロック解除方法を入手しました。

100万ドルはさすがに高すぎる例とはいえ、報奨金の高額さばかりが先行してしまえば、ホワイトハッカーであるべき報告者・セキュリティ研究者たちが、金額しだいでどちらにでも転ぶグレーハッカー(バウンティハンター)化する可能性も指摘されています。

[Image : REUTERS/Lucy Nicholson]




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

75シェア
0
75
0

Sponsored Contents