アップルのセキュリティ技術責任者Ivan Krstic氏がBlack Hat で語ったところではアップルが社内テスターと外注のセキュリティ調査会社によるデバッグ体制では脆弱性の洗い出しに限界があるという認識に至ったとのこと。ただ、9月からのプログラム開始初期では、これまでにアップルの脆弱性発見に協力した経験を持つ20人ほどの参加者に限定し、少しずつ参加条件を緩和し、人数を拡大していくとしています。
気になる脆弱性発見への報奨金は、脆弱性の報告を受け付ける項目のなかで最も高額なのがセキュアブート・ファームウェア関連の脆弱性発見で最高20万ドル。以下、セキュアエンクレーブに保護される機密情報へのアクセスなどが最高10万ドル、カーネル権限による任意コードの実行や、iCloudのアカウントに絡むデータの不正取得などが最高5万ドル。そして、サンドボックス化したプロセスからその外側にある個人データへのアクセスが最高2万5000ドルとなっています。
セキュリティ企業SecurosisのCEOでiOSセキュリティアナリストのRich Mogullは、この報奨金制度について「私が知る限り最大規模の金額が用意されている」と語っています。
Twitterは過去2年間にバグ報奨金として総額32万2420ドル(約3600万円)を支払いました。Facebookも、社内サーバーにフルアクセスできる脆弱性の報告者や、Instagramの脆弱性を報告した10歳の少年に対して1万ドル(約101万円)を支払ったと公表していました。
ただ、報奨金の高額化はいいことばかりとも限りません。2015年に発生したサンバーナーディーノ銃乱射事件では犯人の一人が所持していたiPhone 5Sのロック解除をめぐってFBIとアップルが争っていましたが、結果的にFBIは100万ドル(約1億1000万円)を超えるお金を払ってハッカーからロック解除方法を入手しました。
100万ドルはさすがに高すぎる例とはいえ、報奨金の高額さばかりが先行してしまえば、ホワイトハッカーであるべき報告者・セキュリティ研究者たちが、金額しだいでどちらにでも転ぶグレーハッカー(バウンティハンター)化する可能性も指摘されています。
[Image : REUTERS/Lucy Nicholson]