マイキー・キャンベル
· 2分で読めます
Apple の Ivan Krstic 氏が Black Hat USA 2016 でバグ報奨金プログラムを発表。
Apple の招待制バグ報奨金プログラムは、高額の賞金を求めるセキュリティ研究者が発見した脆弱性をグレーマーケットで高額で売るために保存しているため、出だしは遅い。
マザーボードが実施した一連のインタビューで、アップルの取り組みに参加するよう招かれた研究者らは、iOSのバグは報告するにはあまりにも価値があると語った。
注目すべきは、参加者が発見したシステムの欠陥を報告することに消極的であることです。なぜなら、バグはグレーマーケットでより高く評価されるか、オペレーティングシステムの他の領域での作業を妨げるからです。今のところ、このプログラムに招待された研究者は、報奨金を公に申請したことはありません。
「バグを他の人に売れば、より多くのお金が手に入る」と、昨年アップルのプログラムに参加したZimperiumのセキュリティ研究者、ニキアス・バッセン氏は述べた。「ただお金のためだけなら、(バグを)アップルに直接渡すことはないだろう」
マザーボードがインタビューした10人の研究者のうち、誰もAppleに報告書を提出していなかった。
2016年のBlack Hatカンファレンスで発表されたAppleのバグ報奨金プログラムは、ゼロデイ脆弱性を発見し、高レベルのコンピューティング資産とファーストパーティのセキュリティ要素の防御を強化することを目的として創設されました。報奨金は、セキュアブートファームウェアコンポーネントに関連するエクスプロイトの場合、最高20万ドルに達し、セキュアエンクレーブプロセッサによって保護されている機密資料の抽出の場合は10万ドルまで急落します。より低い報奨金としては、カーネル権限による任意コード実行の場合は5万ドル、Appleサーバー上のiCloudアカウントデータへの不正アクセスの場合は5万ドル、サンドボックスプロセスからサンドボックス外のユーザーデータへのアクセスの場合は2万5000ドルなどがあります。
報告書によると、Zerodiumのような民間企業は、iPhoneを脱獄できるバグ一式に対し、150万ドル以上を支払っている。他の企業は、iOSの脆弱性を、その本質的価値に応じて50万ドルで引き受ける。これらの企業は、法の枠内で事業を展開していると主張し、発見したゼロデイ脆弱性を、ネットワークの保護を目指す企業や法執行機関、諜報機関に販売している。
ハッカーは、Appleにバグを報告することに躊躇するかもしれません。なぜなら、そうすることで自身の研究が危険にさらされるからです。iOSは非常に堅牢に保護されているため、オペレーティングシステムの奥深くに潜む他の脆弱性にアクセスするには、複数のバグが必要になります。Appleにバグを報告することで、その脆弱性が修正されることが保証され、研究者がアクセスする可能性のある経路が制限されます。
昨年、バグ報奨金制度の報告書に招待されたセキュリティ研究者らは、Appleに対し、通常一般公開モデルに課せられる特定の制限がない特別なiPhone、いわゆる「開発者用デバイス」の提供を求めたと報告書は述べている。これらのデバイスは、ハッカーがiOSの奥深くまで調査を続けながらバグを報告できるようにするものだった。Appleはこうしたデバイスの提供を拒否した。
