本日、Motherboardが報じた新たなレポートでは、Appleのバグ報奨金プログラムについて詳細に解説されています。このプログラムは、セキュリティ研究者が「価値の高い」バグを発見し、報奨金を受け取ることを促進することを目的として、同社が昨年開始したものです。しかし、本日のレポートでは、このプログラムがAppleの期待ほど急速に普及していないと指摘されています…

発表時点で、Apple は報奨金プログラムの一環として支払額の上限を次のように明細に示していました。

• セキュアブートファームウェア：20万ドル
• セキュアエンクレーブプロセッサによって保護された機密資料の抽出：10万ドル
• カーネル権限による任意コードの実行：50,000ドル
• Appleサーバー上のiCloudアカウントデータへの不正アクセス：5万ドル
• サンドボックス化されたプロセスからそのサンドボックス外のユーザーデータへのアクセス: 25,000 ドル

しかし、Motherboardのレポートでは、Appleがバグ発見に十分な報酬を支払っていないと指摘されています。サードパーティからバグ発見に対して相当な報酬を受け取れるからです。さらに、研究者が発見したバグを報告した場合、それ以上の研究ができなくなる可能性もあります。

「バグを他の人に売れば、より多くのお金が手に入る」と、Zimperium社のセキュリティ研究者で、昨年Appleのプログラムに参加したニキアス・バッセン氏は述べた。「ただお金のためだけなら、Appleに直接バグを渡すことはないだろう」

さらに、この報告書では、バグハンター8人がAppleの報奨金プログラムにバグを提出していないと述べており、研究者自身もAppleにバグを提出した人を知らないと指摘している。

Appleは、バグに対する十分な報酬を研究者に支払っていないように思われる。Motherboardによると、現在のグレーマーケットでは、Zerodiumのような企業が研究者からエクスプロイトを購入し、顧客に提供しているという。「iPhoneを脱獄できる複数のバグを含む」手法に対し、150万ドルを提示しているのだ。別の企業であるExodus Intelligenceも同様のエクスプロイトに対し、約50万ドルを提示している。

Zerodium と Exodus Intelligence はどちらも、企業、法執行機関、諜報機関にのみ販売すると主張しています。

この報告書ではまた、Apple がバグ報奨金プログラムにどれだけの労力を費やし、著名な研究者をクパチーノに呼んで非公開の会議や懇親会を行ったにもかかわらず、プログラムが失敗に終わったことにも言及している。

Appleは、研究者たちにバグ報奨金プログラムへの参加を促し、同社との協力を促しました。Appleのセキュリティ担当者はプレゼンテーションを行い、研究者たちを夕食に招待し、彼らの研究について語り合う機会を提供しました。出席した2人の情報筋によると、Appleのソフトウェアエンジニアリング担当シニアバイスプレジデント、クレイグ・フェデリギ氏もサプライズで出席し、研究者たちと会い、挨拶を交わしました。

Appleがバグ報奨金プログラムに変更を加える予定があるかどうかはまだ不明です。しかしながら、現状では、研究者たちは報奨金の受け取り先を別の場所に求めています。プログラムの詳細については、Motherboardの完全版レポートをご覧ください。

Apple のニュースをもっと知りたい方は YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。