GoogleのIan Beer氏、Appleのティム・クックCEOはバグ発見報奨金としてチャリティに2億7000万円以上支払うべきと主張

投稿日 2018-08-13
著者 xiaolong
カテゴリー Apple関連ニュース
カテゴリーセキュリティ

Googleの有名なセキュリティリサーチャー、Ian Beer氏が、ラスベガスで行われたBlack Hat Conferenceの最後の講演で、自身が発見したiOSセキュリティホールについて、Appleのティム・クック（Tim Cook）CEOは慈善団体に対して250万ドル（約2億7500万円）を支払うべきだと発言していることを、Business Insiderが報じています。Ian Beer氏はTwitterのアカウントでもティム・クックCEOに対して上記と同様の発言をしています。

Hi @tim_cook, I’ve been working for years to help make iOS more secure. Here’s a list of all the bugs I reported which qualified for your bug bounty since its launch, could you invite me to the program so we can donate this money to @amnesty? pic.twitter.com/VUKj7BaJ4P

— Ian Beer (@i41nbeer) 2018年8月8日

Ian Beer氏の所属するGoogle Project Zeroチームとは

Ian BeerはGoogleのProject Zeroチームのメンバーで、しかもスター的存在です。このチームの目標は他社のソフトウェアのセキュリティホールを見つけ出すことです。そしてそのセキュリティホールが公開されるまで、ソフトウェアメーカーに90日の猶予を与え、その間にセキュリティホールの修復を促す、というものです。この挙動によって、ソフトウェアメーカー企業はセキュリティホールの修復を迫られ、インターネット全体の安全が守られる、というわけです。

Appleにもバグ報告報奨金プログラムがある

もちろんApple自身にもセキュリティホール（バグ）報告報奨金プログラムがあり、iOSなどのソフトウェアにセキュリティホールや脆弱性を見つけたセキュリティリサーチャー達に報奨金を支払っています。しかしその他の会社が導入しているプログラムとは異なり、Appleのそれは招待制になっているのです。Business Insiderによると、もしIan Beerがこのプログラムに実際に招待されていたとしたら、彼のレポートは123万ドル（約1億3550万円）の報奨金を得られているそうです。もしAppleが慈善団体にその倍の寄付金を支払う提案をするとしたら、その寄付額は245万ドル（約2億7000万円）にも上ります。

かつてAppleのセキュリティホールを複数発見してきたIan Beer氏

Ian Beer氏は例として、macOSで発見したセキュリティホールについて挙げています。Appleのセキュリティ通知ページでも、公式にmacOS 10.13.4のKernelのセキュリティホール2つをIan Beer氏が発見したことを認め、公表されています。

Ian Beer氏が今回このようなことを公開の場で持ち出したのは、Beer氏はAppleが彼が報告したセキュリティホールの修復の方法が非常に悪いため、としていますが、実際のところの詳細はよくわかりません。

Appleのバグ報奨金プログラムの賞金は低く、うまく機能していない

Appleは2年前にセキュリティ報奨金プログラムを開始しましたが、実際その導入は他のメーカーに比べても非常に遅いもので、遅きに失しているレベルです。そして1つのセキュリティホールの発見に支払われる報奨金は最高でも20万ドルとなっていて、これも非常に少ない金額となっています。その結果、プログラムが開始されてから1年後、登録されたセキュリティリサーチャーが得た報酬は相対的には低く、プログラムそのものが立ちゆかなくなっている状態だということです。

Apple_Bug-Bounty-Program — Appleのバグ報奨金プログラムの報奨金金額リスト。Black Hat Conferenceで発表された資料より

Appleのバグ報奨金プログラムの賞金は低く、うまく機能していない

一般的には安全とみられているiOSですが、確かに最新版にしか復元できないシステムによって、よほど旧機種を使っているか、または頑なにアップデートを拒んでいない限り、デバイスには常にほぼ最新のiOSが搭載されていることになり、iOSが新しければ新しいほどセキュリティ性能はあがっているので、安全が保障されているといえなくもないです。それに比べ、Androidはアップデートが殆ど行われず、古いOSの適用率が非常に大きいため、多くのデバイスが危険にさらされているともいえます。

その点ではAppleのiOSはいいのですが、肝心のApple自身のセキュリティホールの修復対応がBeer氏が指摘するようにひどいようだと、最新のiOSでもセキュアな状態なのかについて疑問が湧いてきます。その上、iOSには脆弱性がないわけではありませんが、ハッカーが攻撃ツールを作るコストが高いだけで、実際に作れないわけではないという現実もあります。Macにも同様のことがいえます。

Appleはそろそろバグ報奨金プログラムの条件を、GoogleはBeer氏への報酬条件を見直すべきかも

今後ますます複雑化し、便利になるシステムには、必ず脆弱性がつきものです。Appleももう少しセキュリティホール報告報奨金プログラムの条件を見直してもいい頃かもしれません。

しかしIan Beer氏も、Google（Project Zero）から十分な報酬をもらっているのであれば、わざわざこんな恨み言をAppleのティム・クックCEOに直接言うようなことはなかった気がします。Appleがいずれ高額で彼を引き抜きに来るのを待つため、目立つ行動に出たのかもしれません。。なんてちょっと勘ぐりすぎでしょうか。

記事は以上です。

（記事情報元：Business Insider）

Visited 49 times, 1 visit(s) today