Apple、バグ報奨金プログラムをmacOS、iCloud等にも開放｜より安全なデバイスのために

Appleのセキュリティ責任者であるアイヴァン・クルスティッチ氏は、8月8日にラスベガスで開催されたBlackHatカンファレンスにおいてバグ報奨金プログラムの拡大を発表しました。

これまでのiOSデバイスと同様、macOS、tvOS、watchOS、iCloudもバグ報奨金プログラムの対象となります。

バグ発見報奨金プログラムの対象デバイスの拡張のきっかけ

Appleは2016年8月からiOSデバイス用のバグ発見報奨金プログラムを導入しており、セキュリティ研究者はバグを発見しAppleに報告すると報酬を受けとることができるようになっていました。

その一方で、当プログラムにはiOS以外のデバイスが含まれておらず、セキュリティ関連のコミュニティからはたびたび批判されていました。

そして、macOSのバグ発見報奨金プログラムがなかったことにより、2019年の3月に大きな話題となる事態が発生しました。

ドイツ人の若者がmacOSにおけるキーチェーンの重大なセキュリティ欠陥を発見しましたが、詳細を引き渡すことを拒否したのです。

最終的にはAppleへ情報を提供しましたが、彼は自らが拒否することによって、Appleのバグ報奨金プログラムが拡大されることを望むと述べており、Appleは実際に拡大することとなりました。

I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.

— Linus Henze @ Defcon (@LinusHenze) February 28, 2019

友だち追加でお得なキャンペーン情報をゲット！

バグ発見報奨金額の増加

macOSバグ報奨金プログラムの新設に伴い、Appleは今年後半にすべての研究者にバグ報奨金を開放することを発表しました。

セキュリティの重要性を反映し、報奨金の最高金額を1件あたり20万ドルから100万ドルに増額しました。

ゼロクリックでカーネルコードを永続的に実行する脆弱性などでは、最大金額量を得ることが可能に。

一般リリースの前の、プレリリースソフトウェアの脆弱性を発見した研究者は、通常のバグ報奨金に加えて最大50％のボーナス報酬が与えられます。

「開発版」iPhoneの提供

今週はじめに報告されたとおり、Appleは、事前に審査された信頼できるセキュリティ研究者とハッカーに「開発版」iPhoneを提供する予定です。

基盤ソフトウェアとOSにより深くアクセスできるため、脆弱性を発見しやすくなるであろうという見通しになっています。

Appleは「開発版」iPhoneを、来年から開始される、新しいiOSセキュリティ調査デバイスプログラムの一部として提供しようとしています。

新しいバグ報奨金の取り組みを行うAppleの目的は、より多くのセキュリティ研究者が脆弱性を見つけ、最終的には消費者にとってより安全なデバイスを提供することと見られています。

まとめ

セキュリティー対策の重要性が声高に叫ばれる現代、外部の視点から新たな問題点を発見できるバグ報奨金制度の需要は高まっています。

ハッカーワンやバグクラウドといったバグを見つけ出す専門集団の誕生、GitHubのバグ報奨金上限の拡張など多くの動きがある中で、今回AppleがMacやiCloudのバグも報奨金の対象に含めた行為を「遅すぎる」とする声も。ユーザーの安全性を高めるための施策を十全に行っていく必要がありそうです。

Source:MacRumors