macOSとiOSの深刻なセキュリティ問題を報告した人に報酬を支払うのは良い考えですが、2年経った今でも、そのやり方は中途半端で、けちなものです。これはAppleにとっても、私たちにとっても、大きなダメージです。
ベータ テストでは発見できない問題もありますが、最終的には製品を使用する何百万人ものユーザーが発見することになります。
Appleには、自社のソフトウェアの問題を調査する、最も優秀で経験豊富な専門家が何人かいます。そして、そのほとんどはAppleの社員ではありません。どこかの誰かが問題を見つけるでしょう。そして、唯一の問題は、彼らがその情報をどう扱うかということです。
現在、Apple は彼らが名乗り出るのを阻止するプログラムを実施しています。
それは本来の姿ではありません。Appleは公式に、2016年からバグ報奨金プログラムと呼ばれるものを実施しており、これはシンプルなはずです。Appleのソフトウェアに深刻なバグを見つけた場合、Appleが報奨金を支払う、それだけです。確かに、あなたが最初にバグを発見したかどうかという問題はありますが、管理上の問題はさておき、仕組みは至ってシンプルです。
バグ報奨金制度が始まって3年が経ち、今週Appleは(驚くべきことに)実際に報奨金を支払ったことでテレビニュースになりました。そして、おそらくそれはあのニュース報道のおかげだったのでしょう。
良いリンゴ
Appleは正しい対応をしました。発見に対して金銭を支払っただけでなく、問題を修正し、リリースノートには発見者の功績を記しました。
人々がバグを発見し、Appleに報告しました。Appleはそれを修正し、感謝の意を表しました。これが実際に起こったことです。もしこれがその順序で起こっていたら、たとえそのプロセスがほぼ一直線に進んでいたとしても、私たちはそのことについて考えることはなかったでしょう。そして、さらに重要なのは、他のバグを発見した人は、私たちが望むように、Appleに直接報告してくれるということです。この問題を修正してくれたApple、そしてこのバグ報奨金プログラムを創設してくれたAppleに、心から感謝します。
ただ、プログラムを作成した人と、支払いを行うべき人が別のオフィスにいるかのようです。
Appleはこのバグ報奨金制度をまるで自分たちへの負担であるかのように振る舞い、経理部門はまるでその額が会社を破産させるほどの額であるかのように振る舞っています。気軽にお金を使うだけでは世界で最も収益性の高い企業にはなれませんが、数字を見てください。このバグ報奨金制度は2万5000ドルから20万ドルの支給額が見込まれていますが、短期的に見ても、Appleは悪いPRによってその額を失ったことは間違いありません。
もしこれが別の展開だったら、つまりAppleがバグ報告を受け入れ、すぐに対応し、もっとタイムリーなタイミングで、感謝の気持ちとして子供の大学教育費を負担すると発表していたら、Appleはスターになっていただろう。確かに、有能な人材は皆、Appleに報告するためのバグを見つけようと躍起になっていただろう。しかし、Appleがまさに望んでいたのは、まさにそれだった。
我々はすべての人に Apple を愛してほしいと願っているのではなく、バグを発見したすべての人がためらうことなくそれを直接会社に報告してほしいと願っているのです。
抗議の抵抗
同じく2月には、ある研究者がキーチェーンの新たなエクスプロイトを実証しました。適切な状況下では、執拗かつ集中的な攻撃者がキーチェーンからパスワードを抜き出すことが可能です。不正広告が表示されたときにパスワードがダウンロードされるという単純な話ではありませんが、それでも攻撃の手掛かりとなることは間違いありません。
そして、研究者はAppleに具体的な詳細を開示していません。動作確認のデモンストレーションのみで、これは分かりにくいバグ報奨金プログラムのせいです。Appleが詳細をすべて公開してくれれば、もっと良いでしょう。確かに、研究者が情報を隠していること自体が問題の一因ですが、なぜ情報を隠しているのか、その根拠は実に示唆的です。
克服できない問題ではない
Appleが事実を否定しながらもケチケチしているように見えるのは誰も望んでいないが、実際はそうである。バグを見つけた人が、macOSやiOSの脆弱性を悪用する人にそれを売る方が簡単だと考えるのは、天使側の人間には誰も望んでいない。
Appleに報告することが最善であることを明確にしましょう。そして、報告方法さえも隠すのはやめましょう。今のところ、このバグ報奨金プログラムがどこにあるか見つけるのは大変でしょう。Appleのウェブサイトでやり方を調べてみてください。
ちょっと考えて、apple.com は適切ではないと判断したかもしれませんね。その場合は、support.apple.com で検索した方がいいかもしれません。どちらでも構いません。違いはありません。
何か出てくると思うだろう
バグと問題の同義語(懸賞金、金銭、報酬など)を調べるのに時間を費やさない限り、バグ報告の方法を見つける唯一の方法はGoogle検索です。google.comにアクセスして「bug bounty at apple.com」と検索すれば、見つかります。
正確には、 「セキュリティ問題についてAppleに問い合わせる」というサポートページがあります。顧客向けのセクションには、この問題に関する記述はありません。開発者向けのセクションには、全員が登録している通常のApple Developer Connectionプログラムを通じて問題を報告するように記載されています。
そして最後に、「セキュリティとプライバシーの研究者」というセクションがあり、希望する場合は [email protected] にメールを送信できると書かれています。どうやらこれが必要なようですが、Appleはここにもどこにもそう書いていないので、私たちを騙すのは不可能です。
賢さ
バグを見つけるほど賢いなら、最終的にはバグ報奨金プログラムを見つけるほど賢いはずです。また、バグに決して触れさせたくないような人たちから、高額の報酬を得られる可能性があることも十分に理解しているはずです。
バグを売りつける悪質な人を見つけるのが難しく、Appleに売りつけるのが簡単だとしても、Appleは善良な人を見つけるのを同じくらい難しくすべきではありません。
AppleがこのグループFaceTimeのバグ発見にどれだけの費用を支払ったのかは、今のところ全く分かっておらず、おそらく今後も知ることはないでしょう。また、今回の倹約的な否認手続きがどれほどの損害をもたらしたかについても、価格を付けることはできません。Appleが既に問題を修正したにもかかわらず、インターネットやソーシャルメディアでは依然として悲惨なニュースが溢れています。
そうなると、これが今後何を意味するのか、金額で表すことはできません。一つの事件に重きを置きすぎることはありますが、話題になるのがそれだけで、ニュースになるのもそれだけであれば、真っ先に記憶に残るのは間違いなくその事件です。
つまり、この一件から私たちが学んだのは、Appleはバグ報奨金プログラムを実施しているものの、ユーザーにその存在を知られたくないということです。Appleはバグを報告してほしくなく、報奨金を支払うつもりもないこと、それが分かります。
そして次に誰かが重大なバグを発見したとき、Apple と私たち全員に、25,000 ドルから 200,000 ドルよりもはるかに大きな損害が発生する可能性がある。
