マイキー・キャンベル
· 1分で読めます
Appleは今年のBlack Hatセキュリティカンファレンスでのプレゼンテーションで、これまで発見されていなかったソフトウェアやハードウェアの脆弱性に対して賞金を支払う取り組みである、同社初のバグ報奨金プログラムを導入する計画を発表した。
このプログラムが9月に開始されると、Appleの最新製品の脆弱性を調査しているセキュリティ研究者は、有効なエクスプロイトを提出することで、現金報酬(いわゆる「報奨金」)を受け取ることができるようになります。小規模企業や業界団体にとって、バグ報奨金制度は馴染み深いものであり、Appleは社内テストから公開インセンティブへと移行した、大手家電ブランドの中でも最後の存在となっています。
Appleのプレゼンテーションで述べられているように、当初の報奨金は、高レベルのコンピューティング資産とファーストパーティのセキュリティ要素の防御を強化することを目的としています。報奨金の上限は、セキュアブートファームウェアコンポーネントで20万ドル、セキュアエンクレーブプロセッサによって保護されている機密資料の抽出で10万ドル、カーネル権限による任意コードの実行で5万ドル、Appleサーバー上のiCloudアカウントデータへの不正アクセスで5万ドル、サンドボックスプロセスからサンドボックス外のユーザーデータへのアクセスで2万5000ドルとなっています。
Appleのあらゆるサービスと同様に、バグ報奨金の支払メカニズムにも工夫が凝らされています。賞金を慈善団体に寄付することを選択したセキュリティ研究者には、Appleが寄付額と同額を上乗せして支給します。
現時点では、Appleのバグハンティングシステムは、招待された選抜された研究者グループのみに公開されます。同社は具体的に誰が参加を要請されたかは発表していませんが、特に興味深いバグを発見した非会員は、エリートチームへの参加を要請される可能性があると述べています。
Apple は当初のバグ カテゴリを超えてプログラムを拡大するつもりのようですが、その計画の詳細は今日明らかにしませんでした。
Appleは製品セキュリティに関しては常に外部からの意見を積極的に取り入れており、最近の例としては、AndroidのStagefrightエクスプロイトに類似した潜在的に危険なiOSの脆弱性の発見が挙げられます。iOS、Mac、tvOSデバイスに影響を与えたこの脆弱性は、7月の一連のソフトウェアアップデートで修正されました。
Appleは、バグ報奨金プログラムを通じて脅威の発見を奨励することを目指しており、これはホワイトハットハッカーとグレーハットハッカーの両方にメリットをもたらすモデルです。製品への注目度が高まれば高まるほど、世界中の何百万ものデバイス所有者に影響を与える前に、脅威を検知し対処できる可能性が高まります。
