アップルもバグ報奨金プログラム開始、最高20万ドル支給もまずは少数経験者から。Black Hatにて発表

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2016年08月5日, 午後 06:00 in apple
0シェア
FacebookTwitter
アップルがセキュリティ関連のカンファレンス「Black Hat」にて、バグ報奨金プログラムを発表しました。アップル製品で発見したセキュリティ脆弱性を内密に報告すれば、その重要度に応じて最大20万ドル(約2020万円)の報奨金を提供します。同種の報奨金システムはFacebookやTwitterなどが採用しているのが知られており、時折1万ドルを超える高額な報奨金を受け取るホワイトハッカーが現れたりします。しかしアップルはこれまで正式なバグ報奨金制度は設けていませんでした。

アップルのセキュリティ技術責任者Ivan Krstic氏がBlack Hat で語ったところではアップルが社内テスターと外注のセキュリティ調査会社によるデバッグ体制では脆弱性の洗い出しに限界があるという認識に至ったとのこと。ただ、9月からのプログラム開始初期では、これまでにアップルの脆弱性発見に協力した経験を持つ20人ほどの参加者に限定し、少しずつ参加条件を緩和し、人数を拡大していくとしています。

気になる脆弱性発見への報奨金は、脆弱性の報告を受け付ける項目のなかで最も高額なのがセキュアブート・ファームウェア関連の脆弱性発見で最高20万ドル。以下、セキュアエンクレーブに保護される機密情報へのアクセスなどが最高10万ドル、カーネル権限による任意コードの実行や、iCloudのアカウントに絡むデータの不正取得などが最高5万ドル。そして、サンドボックス化したプロセスからその外側にある個人データへのアクセスが最高2万5000ドルとなっています。

セキュリティ企業SecurosisのCEOでiOSセキュリティアナリストのRich Mogullは、この報奨金制度について「私が知る限り最大規模の金額が用意されている」と語っています。

Twitterは過去2年間にバグ報奨金として総額32万2420ドル(約3600万円)を支払いました。Facebookも、社内サーバーにフルアクセスできる脆弱性の報告者や、Instagramの脆弱性を報告した10歳の少年に対して1万ドル(約101万円)を支払ったと公表していました。

ただ、報奨金の高額化はいいことばかりとも限りません。2015年に発生したサンバーナーディーノ銃乱射事件では犯人の一人が所持していたiPhone 5Sのロック解除をめぐってFBIとアップルが争っていましたが、結果的にFBIは100万ドル(約1億1000万円)を超えるお金を払ってハッカーからロック解除方法を入手しました。

100万ドルはさすがに高すぎる例とはいえ、報奨金の高額さばかりが先行してしまえば、ホワイトハッカーであるべき報告者・セキュリティ研究者たちが、金額しだいでどちらにでも転ぶグレーハッカー(バウンティハンター)化する可能性も指摘されています。

[Image : REUTERS/Lucy Nicholson]
 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: apple, blackhat, bugbounty, culture, hacks, icloud, ios, security, securityresearch
0シェア
FacebookTwitter

Sponsored Contents