AppleInsiderスタッフ
· 1分で読めます
Apple の Ivan Krstic 氏が Black Hat USA 2016 でバグ報奨金プログラムを発表。
アップルは、ハードウェアとソフトウェアの脆弱性を調査する取り組みの一環として、審査済みのセキュリティ研究者に特別なiPhoneのバリエーションを提供する予定であると月曜日の報道で述べられており、同社は今後数週間以内にMac向けの公式バグ報奨金プログラムを導入する予定であるとも伝えられている。
フォーブスは、アップルの計画に詳しい関係者を引用し、このテクノロジー大手の招待制バグ報奨金プログラムの参加者に特別なiPhoneハードウェアが提供される予定だと報じている。
詳細はほとんど明らかにされていないが、情報筋によると、これらのiPhoneは「開発用デバイス」であり、一般消費者向けモデルよりも研究者がiOSの脆弱性を調査する上ではるかに大きな自由度を提供するという。Appleのセキュリティチームに提供されるデバイスほど制限がないわけではないものの、バグ報奨金対象端末では、バグハンターが標的型攻撃を実行しながらプロセッサの動作を停止させ、システムメモリを検査できるようになると報じられている。
しかし、ハッカーが主要なiPhoneファームウェアにアクセスする可能性は低いと報告書は指摘しており、Appleは最も貴重なコードを保護するつもりだ。
このレポートは、Appleがバグ報奨金プログラムのメンバーに特別なiPhoneを提供するという決定は、開発用デバイスの流出に対する業界の反応に起因すると推測している。これまで、セキュリティ研究者は開発者向けハードウェアへのアクセス、特に重要なゼロデイ脆弱性の発見において、その恩恵を受けてきた。
Appleは、開発デバイスプログラムに加え、macOS向けの新たなバグ報奨金プログラムも発表すると予想されています。現在、Appleはバグ報奨金の対象を最重要プラットフォームであるiOSに限定しており、報奨金の額は、セキュアブートファームウェアコンポーネントに関連する脆弱性への脆弱性発見で20万ドル、それほど深刻ではない脆弱性への脆弱性発見で2万5000ドルとなっています。
研究者たちは長年にわたりAppleに対し、macOSのバグ報奨金制度の創設を求めてきましたが、同社は正式なプログラムの実施にほとんど関心を示していません。この問題に対するAppleの姿勢は、2月にドイツの10代の若者Linus Henze氏がmacOSキーチェーンの脆弱性を発見したものの、抗議として詳細情報の開示を拒否したことで、表面化しました。Henze氏は最終的に、この脆弱性は秘密にしておくには重大すぎるとして、発見内容を公表しました。
情報筋によると、Appleは今週開催されるセキュリティカンファレンス「Black Hat」で、開発者向けiPhoneプログラムとMacのバグ報奨金制度の両方を発表する予定だ。Appleのセキュリティエンジニアリング責任者であるイヴァン・クルスティック氏は、木曜日のプレゼンテーションでiOS 13、macOS Catalinaなどについて話す予定だ。
