Apple、Black Hat 2016で初のセキュリティ報奨金プログラムを発表、最大20万ドルの賞金もc

Apple、Black Hat 2016で初のセキュリティ報奨金プログラムを発表、最大20万ドルの賞金もc
Apple、Black Hat 2016で初のセキュリティ報奨金プログラムを発表、最大20万ドルの賞金もc

AppleはこれまでBlack Hatハッカーカンファレンスにはあまり参加していませんでしたが、今年はクパチーノがセキュリティについて「Thinking Different™(異なる考え方)」を掲げています。Appleのセキュリティ責任者であるイヴァン・クルスティック氏は本日、特定のAppleソフトウェアの脆弱性を発見・報告した招待研究者に対し、巨額(最大20万ドル)のバグ発見報奨金を支払うと発表しました。

最大支払額の簡単な内訳:

  • セキュアブートファームウェア:20万ドル
  • セキュアエンクレーブプロセッサによって保護された機密資料の抽出:10万ドル
  • カーネル権限による任意コードの実行:50,000ドル
  • Appleサーバー上のiCloudアカウントデータへの不正アクセス:5万ドル
  • サンドボックス化されたプロセスからそのサンドボックス外のユーザーデータへのアクセス: 25,000 ドル

今年初め、FBIはサンバーナーディーノのテロリストのiPhoneからデータを抜き出すために100万ドル弱を支払った。おそらくAppleは、自社の最高峰ソフトウェアへのこうした利益を生むバックドアを排除しようとしているのだろう。 

その報告によると、FBIが利用したツールはiOS 9を実行しているどのiPhoneでも使用可能であり、まだ出回っている可能性があるが、AppleはFBIに脆弱性を報告したと言われている。

脱獄者はAppleの脆弱性を悪用してiPhoneへのアクセスを許可しています。Appleは本日、最新のPangu脱獄アクセスをブロックするために特別に設計されたiOS 9.3.4ソフトウェアのアップデートをリリースしました。

本日の Black Hat での Apple の講演は「iOS セキュリティの舞台裏」と題され、Ivan Krstic 氏が発表しました。

10億台を超えるアクティブデバイスと、シリコンからソフトウェアまであらゆるレイヤーに及ぶ徹底的なセキュリティ保護を備えたAppleは、iOSのリリースごとにモバイルセキュリティの最先端技術の進化に取り組んでいます。本記事では、iOS 10で新たに追加された3つのセキュリティメカニズムについて、これまでにない技術的詳細を解説します。そのうちの1つについては、初めて公開します。

HomeKit、自動ロック解除、iCloudキーチェーンは、極めて機密性の高いユーザーデータを取り扱う3つのAppleテクノロジーです。それぞれ、ユーザーの自宅にあるデバイス(ロックを含む)の制御、Apple WatchからユーザーのMacのロックを解除する機能、そしてユーザーのパスワードとクレジットカード情報です。本講演では、Appleに機密データを公開することなくデバイス間で機密データを転送する、革新的なセキュア同期ファブリックの暗号設計と実装について解説します。このファブリックは、デバイスを紛失した場合でもユーザーがデータを復元できる機能を提供します。

データ保護は、すべてのiOSデバイス上のユーザーデータを保護する暗号化システムです。iPhone 5S以降のデバイスに搭載されているセキュアエンクレーブプロセッサについて解説し、このプロセッサがどのようにしてデータ保護鍵導出とブルートフォース攻撃によるレート制限を小規模なTCB内で実現し、中間鍵や導出鍵を通常のアプリケーションプロセッサで利用できないようにしたのかを説明します。

従来のブラウザベースの脆弱性は、緩和策の高度化により、悪用が困難になっています。iOS 10の独自のJIT強化メカニズムについて解説します。このメカニズムにより、iOS Safari JITはより攻撃されにくくなります。

ただし、Appleの新しい報奨金プログラムにはいくつか注意点があります。新プログラムの詳細は以下をご覧ください(CNETより)。

サイバーセキュリティ調査会社SecurosisのCEO、リッチ・モーグル氏は、もしAppleが重大な欠陥に対して報奨金を支払っていたら、このような事態は避けられたかもしれないと述べた。しかし、同社製品をハッキングするための本当に価値のあるツールとなると、「Appleは政府や100万ドルを払えるロシアのマフィアよりも高い金額を払うことはできないだろう」と同氏は述べた。

このプログラムは、研究者が研究成果を徹底的に追求することを奨励するものだとモグル氏は述べた。欠陥を見つけて終わりにするのではなく、専門家たちはその欠陥が本当にハッカーの侵入口となり得ることを証明する根拠を持つことになる。Appleが賠償金を支払う前に、その証明が必要となるのだ。

Appleは、このバグ報奨金制度は、自社システムの脆弱性を見つけることがいかに困難であるかを認識するためのものだと述べた。同社はユーザーデータを暗号化するなど、製品のセキュリティを強化し、ソフトウェア全般を厳重に管理し続けているため、セキュリティを破る難しさは増している。

報奨金は欠陥が発見された場所によって異なり、当初はどんなハッカーでも対象になるわけではないとAppleは述べている。9月の開始時には、同社が過去に協力関係にあった数十人のセキュリティ研究者が参加する。しかし、そのグループ以外の研究者が価値の高い欠陥を発見した場合、Appleはその研究者にも報奨金の支払いを検討するとAppleは述べている。

「これは特別なクラブになるつもりはありません」とクルスティック氏は語った。

iOS セキュリティの話は熱く、テンポも速い #BHUSA pic.twitter.com/QfATd4QmoB

— ショーン・カーナー (@TechJournalist) 2016年8月4日

現在、@planetbeing、@pimskeks、@PanguTeam と一緒に、@radian (Apple 所属) による iOS セキュリティの舞台裏を視聴しています。pic.twitter.com/nJ2nOy3w3C

— ジェイ・フリーマン(saurik) (@saurik) 2016年8月4日

AppleのIvan Krstić氏が#BlackHat2016で、高額の賞金をかけた新たなバグ報奨金プログラムを発表した。pic.twitter.com/KpJ7dTjK02

— ニール・ルーベンキング (@neiljrubenking) 2016 年 8 月 4 日

#Apple によるこの脆弱性の評価は、#FBI がサンバーナーディーノの脆弱性攻撃に支払った金額について何を示唆しているのだろうか。#BlackHat2016

— ジョシュ・バロン(@JoshuaWBaron)2016年8月5日

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。