【アップル】「バグ報奨金プログラム」をmacOSなどにも拡大！

米現地時間8月9日、アップルのセキュリティ担当責任者Ivan Krstic（イヴァン・クリスティク）氏は、ラスベガスで開催された「Black Hat USA 2019」で「バグ報奨金プログラム」をmacOS、tvOS、watchOS及びiCloudにも拡大することを発表しました。

アップルは2016年8月に「バグ報奨金プログラム」を開始しましたが、iOS向けのみに限定されていました。そこにはmacOSが含まれておらず、セキュリティコミュニティから批判が集中していた経緯があります。

今年3月にもmacOS Mojaveのキーチェーン脆弱性を発見した研究者が報酬を求めたものの、アップルに黙殺され全情報とパッチを無償で提供する一件がありました。

新たなバグ報奨金プログラムは、今年後半に全ての研究者に向けて開放され、報奨金も現在の脆弱性1件につき最高額を20万ドルから、100万ドル（約1億円）に引き上げるとしています。

さらに一般公開前のプレリリースビルドで脆弱性を発見した場合は、基本の報奨金に加えて最大50％のボーナスが受けられるとしています。

アップル社のiOSのバグ報奨金制度は、研究者が攻撃手法を見つけてアップルに内密に報告した場合、1件につき最高額150万ドル（約1億5,800万円）を支払うというものです。

これによりアップルは、セキュリティー研究者たちが長年望んできたものをようやく提供することになります。

また、アップルは一部のセキュリティ研究者を対象に「特別版のiPhone」を供与することを明らかにしました。これらの端末は、研究者たちがさらに内部まで精査できるように、何層ものセキュリティ保護が取り除かれています。

アップルが来年から供与を開始するというこのセキュリティ研究用iPhoneは、ユーザーに標準でルート権限のコマンド入力画面（シェル）を提供し、研究者たちが最高の権限をもって端末でコマンドを実行できるようにするものです。

さらに研究者たちが端末のコードから欠陥を取り除くことを容易にするデバッグ機能も備えていると言います。

セキュリティ研究用の特別なiPhoneの提供をアップルから受けることで、研究者たちは闇市場に頼ることなくiPhoneの深層まで精査できるようになります。

最高100万ドル（約1億円）の報奨金に加え、開発者の手を離れて広く一般向けに発売される前のベータ版の段階でコードの欠陥を特定した研究者には、さらに50パーセントのボーナスが加算されます。

つまり1件の攻撃手法についての最高報酬は150万ドルということになります。

こうしたセキュリティ研究者への手厚い協力や報奨金の増額が約束される背景には、iOS以外のアップル製OSには報奨金制度がなく、iOS向け報奨金も安すぎるとのセキュリティ研究者達の不満がありました。

またこれまでなら重大な脆弱性が発見されてもアップルに報告せず闇市場に売り込みに行くことを考えたであろうハッカーたちに対して、アップルへの報告を奨励する動機づけになるかもしれません。

アップルは「バグ報奨金プログラム」を拡大することで、さらに多くの研究者に問題の発見を促し顧客の安全性を高められることを期待しているとしています。