Appleは、Apple Security Bountyプログラムの「大幅な進化」と称するアップデートを発表しました。同社によると、このプログラムはこれまでに800人以上のセキュリティ研究者に3,500万ドル以上の賞金を支払ってきたとのことです。

本日の発表では、このプログラムの「次の大きな章」が宣伝されており、「高度な傭兵スパイウェア攻撃と同様の目的を達成できるエクスプロイトチェーン」に対する最高賞金を200万ドルに倍増することも含まれている。

Appleは、200万ドルの報奨金は「業界では前例のない額であり、当社が知る限りの報奨金プログラムの中でも最高額」だと述べている。また、iCloudやGatekeeperの発見など、他のカテゴリーでも報奨金を大幅に増額している。

高度な傭兵スパイウェア攻撃と同様の目的を達成できるエクスプロイトチェーンに対し、最高賞金を200万ドルに倍増します。これは業界で前例のない額であり、私たちが知る限り、報奨金プログラムとしては過去最高額です。さらに、ロックダウンモードのバイパスやベータ版ソフトウェアで発見された脆弱性に対して追加の報奨金を提供するボーナスシステムでは、この賞金を2倍以上に引き上げ、最大で500万ドルを超えることもあります。さらに、より徹底的な調査を促進するため、他の多くのカテゴリーでも報奨金を2倍または大幅に増額します。これには、ゲートキーパーの完全なバイパスに対する10万ドル、iCloudの広範な不正アクセスに対する100万ドルが含まれます。どちらのカテゴリーでも、現在までに成功したエクスプロイトは確認されていません。

Apple が強調したもう 1 つの変更には、新しい攻撃対象領域をカバーするために報奨金カテゴリを拡大することが含まれます。

報奨金カテゴリーは、より広範な攻撃対象領域をカバーするために拡大しています。特に、WebKitサンドボックスをワンクリックで回避する脆弱性攻撃には最大30万ドル、あらゆる無線LANを介した無線近接攻撃には最大100万ドルの報奨金を授与します。

Apple はターゲットフラグも導入しており、同社ではこれを「研究者が当社のトップ報奨金カテゴリーの一部について悪用可能性を客観的に示すための新しい方法」と説明している。

ターゲットフラグを導入します。これは、リモートコード実行や透明性・同意・管理（TCC）のバイパスなど、主要な報奨金カテゴリーにおける脆弱性の悪用可能性を研究者が客観的に実証し、特定の報奨金の受給資格を判断するための新たな方法です。ターゲットフラグを使用してレポートを提出した研究者は、迅速な報奨金の対象となります。この報奨金は、修正プログラムが利用可能になる前であっても、研究の受領と検証後すぐに処理されます。

最後に、Appleは民間社会団体にiPhone 17を1000台提供し、「傭兵スパイウェアの標的となる可能性のある民間社会のメンバー」を含むリスクのあるユーザーにデバイスを届ける予定だと述べている。

2022年には、標的を絞った傭兵スパイウェア攻撃の調査に取り組む市民社会団体を支援するため、前例のない1,000万ドルのサイバーセキュリティ助成金を支給しました。現在、メモリ整合性強化機能を搭載したiPhone 17を特集した特別な取り組みを計画しています。これは、コンシューマー向けオペレーティングシステムの歴史において、メモリの安全性における最も重要なアップグレードだと考えています。この革新的で業界をリードする防御機能を、傭兵スパイウェアの標的となる可能性のある市民社会のメンバーに迅速に提供するため、リスクのあるユーザーにiPhone 17を届けることができる市民社会団体に、1,000台のiPhone 17を提供します。この取り組みは、最も高度なセキュリティ保護を最も必要とする人々に届けるという、私たちの継続的なコミットメントを反映しています。

Appleによれば、アップデートは2025年11月に発効し、その際にApple Security Researchサイトで新規および拡張されたカテゴリ、特典、ボーナスの詳細な内訳も公開する予定だという。

今のところ、詳細については Apple のセキュリティ リサーチ Web サイトで読むことができます。

私のお気に入りのiPhoneアクセサリ：

• USB-Cケーブル内蔵のAnkerパワーバンク
• iPhone、Apple Watch、AirPodsを同時に充電できます
• ワイヤレスCarPlayをあらゆる車に
• Anker MagSafe パワーバンク

Chance をフォロー: Threads、Bluesky、Instagram、Mastodon。 

havebin.com を Google ニュース フィードに追加します。