当ブログでも先日予告でお伝えした通り、Appleは米国ラスベガスで行われているBlack Hatセキュリティカンファレンスで新しいバグ発見奨励金プログラムを発表しました。
iOS以外はバグ報奨金プログラムがなかったことで批判を受け、ようやく対応した形に
今回Appleは、macOS、tvOS、watchOS、iCloud、およびiOSデバイス、つまりAppleの現行全てのOSを対象とする拡張されたバグ報奨金プログラムを導入したことを発表しています。
Appleは2016年8月にiOSデバイス用のバグ発見報奨金プログラムを導入し、iOSのバグを発見したセキュリティ研究者が、脆弱性をAppleに開示することで現金による報奨金の支払いを受け取ることができるようになりました。しかしこれまで、iOS以外のデバイスは対象ではなかったことから、セキュリティコミュニティによって批判の対象となってきました。
macOSのバグ報奨金プログラムの欠如が産んだ問題は今年2月に発生しました。ドイツの10代のハッカー、ライナス・ヘンゼ(Linus Henze)君がmacOSキーチェーン(パスワード保管システム)のセキュリティ上の欠陥を発見し、その詳細をAppleに引き渡すことを当初拒否したのです。その理由はAppleに報奨金支払プログラムがなかったからでした。結局、最終的にヘンゼ君はAppleに情報を提供しましたが、ヘンゼ君は自身がAppleに情報提供を拒否することで、Appleがバグ報奨金プログラムを拡大するようになることを望んでいると述べていました。どちらが大人なのでしょうね。
バグ発見報奨金の金額も大幅アップ、最高額は5倍に
今回新しいmacOSバグ報奨金プログラムの開始に伴い、Appleは今年後半にすべての研究者に対してバグ報奨金を開放し、セキュリティ欠陥の性質に応じて、1つの脆弱性(エクスプロイト)あたり20万ドルから100万ドルに報奨金の最大額を5倍も増やしています。永続性のあるゼロクリックカーネルコードの実行ができる脆弱性を発見した人は、最大金額の100万ドルを獲得することができます。100万ドル=1億円以上ですので、太っ腹!という感じもします。
一般向けリリースの前のプレリリースソフトウェア(ベータ版=テクニカルプレビュー版やパブリックプレビュー版)の脆弱性を発見したセキュリティ研究者は、ベースバグの報奨金に加えて最大50%のボーナスの資格を得ることができます。
バグ発見とその追跡に役立つ「開発者用プチ脱獄済iPhone」も来年から提供
また当ブログでもお伝えしたように、Appleはまた、検証済みの信頼できるセキュリティ研究者とハッカーに対して、開発者向けの「プチ脱獄済iPhone」を提供する予定です。Appleはこの「開発者用iPhone」を、来年から開始される新しいiOS Security Research Device Programの一部として提供するということです。これらの新しいバグ報奨金の取り組みに関するAppleの目的は、更に多くのセキュリティ研究者が脆弱性を開示することを奨励し、最終的にはユーザにとってより安全なデバイスの開発に繋げるものです。
Appleもようやくセキュリティ報奨制度がまともになった。。
しかしこれまでiOS以外のOSにはなかったことがおかしかったので、マイナスがゼロになった程度のあまり驚くべきニュースではないともいえます。Appleはユーザのセキュリティに関してはあまり重視していないという誹りを受けていたのですが、これでようやく普通のレベルになった、といえそうです。もちろん、報奨金はかなり金額が引き上げられたので、良心的になったともいえます。
これまではiOS以外はマルウェア対策ソフトのベンダーによる報奨金プログラムやハッカーコンテストに参加するというルートしか脆弱性を発見しても報奨をもらう仕組みはなかったのですが、今後は直接Appleに提出することが可能になっただけでも大きなことなのかもしれません。
しかしこの報奨金プログラムが強化されたことで、既に終焉に近い脱獄への道は更に険しくなったといえるでしょうね。
記事は以上です。