ウィリアム・ギャラガー
· 1分で読めます
Appleのセキュリティ研究デバイス(出典:Apple)
Appleは新しいセキュリティリサーチのウェブサイトを立ち上げ、その最初の投稿では、問題の報告をより簡単にし、すでに約2,000万ドルの報奨金を支払ったと述べています。
Apple Security Researchの新しいサイトは、深刻なセキュリティ問題が報告された際のAppleの対応について長年にわたり不満が寄せられてきたことを受けて開設されました。セキュリティ専門家は、Appleの支払いの倹約ぶりを繰り返し批判し、Appleが支払いを怠っている、あるいはバグ修正が遅いと指摘してきました。
新しいサイトでは、重大なバグを報告する場所をより簡単に見つけられるようにすることを目的としており、有能なセキュリティ コンサルタントは、調査に役立てるために「特別に融合された iPhone」にアクセスすることもできます。
「セキュリティリサーチデバイス(SRD)は、特別に統合されたiPhoneで、セキュリティ機能をバイパスすることなくiOSのセキュリティリサーチを行うことができます」と、新しいサイトのブログ記事で説明されています。「シェルアクセスが可能で、あらゆるツールを実行したり、独自の権限を選択したり、カーネルをカスタマイズしたりすることも可能です。」
「SRDを使用すると、iOSセキュリティの内部層へのアクセスを失うリスクなしに、発見したすべての情報をAppleに自信を持って報告できます」と続けます。「さらに、SRDで発見した脆弱性は、自動的にAppleセキュリティバウンティの対象となります。」
Appleはまた、報奨金プログラム開始以来、「研究者に総額約2,000万ドルを支払えたことを大変誇りに思う」と述べています。これらの支払いには「10万ドルを超える報奨金が20件」含まれており、「当社の知る限り、Apple Security Bountyは業界史上最も急速に成長している報奨金プログラムとなっている」とAppleは述べています。
報奨金の支払件数が増加していると主張する一方で、Apple はセキュリティ問題の報告にさらに迅速に対応できるよう取り組んでいると述べている。
「予想以上に多くの報告が寄せられることもありました」と同社は語る。「そのため、チームを拡大し、受け取ったほぼすべての報告の初期評価を2週間以内、大半は6日以内に完了できるよう努力してきました。」
Appleは、セキュリティ研究用デバイスの申し込みを2022年11月30日まで受け付けている。毎年提供されるデバイス数は限られており、申し込み資格が厳しいほか、利用条件も定められている。
