AFP
先週、アップルのグループFaceTimeを悪用して盗聴ができてしまうバグが一般に報じられるようになったあと、アリゾナ州に住む少年とその母親がバグの第一発見者だと名乗り出ていました。この親子は問題が明るみに出る1週間も前にバグを発見し、アップルのバグ報奨金プログラムに報告を試みたものの、なかなか相手にしてもらえなかったと訴えていました。
米ニュース放送局CNBCは、その後、母親いわく「アップル幹部」なる人物がこの親子の自宅を訪問したと報じました。この人物は親子に謝意を伝えるとともにバグ報告プロセスの改善について意見を求め、発見した少年がバグ報奨金プログラムの資格がある(報奨金を受け取れる)と告げたとのことです。
FaceTime盗聴バグ報告親子宅に「アップル幹部」が訪問、謝罪と報奨金提供を申し出
まともに取り合わなかったことが大騒動に繋がった事実がありますしね
アリゾナ州に住む14歳のグラント・トンプソンは、1月20日に友達とFortniteを遊ぶためにグループFaceTimeを始めようとして盗聴バグに気づいたと述べています。その後、母親とともにTwitterやFacebookを通じてアップルに報告したものの、なかなか対応してもらえなかったとのこと。
最終的にトンプソン親子は開発者プログラムに加入した上で、バグ報告プログラムを通じてアップルのセキュリティチームに連絡を取ることができました。しかし、それから1週間もの間まともな対応はなされず、メディアで話題となってからようやくことが動き始めたという顛末です。
さて今回、なぜいまさらバグ報奨金プログラムの資格があると確認したのか?といえば、この制度は通常は招待制となっているからです。2016年8月の発足当時は、これまでアップルの脆弱性発見に協力した実績のある20人ほどの参加者に限定されており、基本的には経験者のみとされています。
しかも報奨金の対象となるバグも、iCloudアカウントに絡むデータの不正アクセスやiOSのサンドボックスからその外側にある個人データへのアクセスなど、特定カテゴリのセキュリティ上の脆弱性に限られています。
つまり経験者ではない少年が、バグ報奨金プログラムの対象外であるソフトのバグを発見しても、原則的には金銭的な見返りは得られないと推測されるわけです。
しかし、「アップル幹部」は、少年がバグ報奨金プログラムの資格があるとして「次の週にセキュリティチームから連絡があるでしょう」と述べたとのことです。母親は「息子が発見したバグに対して報奨金をもらえたなら、大学への進学に活用したいと思います。この分野(セキュリティ)は息子が前から興味を持っていたことですし、今はなおさらです」と語っています。
原則論でいえば少年はそもそも報奨金を受け取る資格もない可能性がありますが、実際に彼の報告を真剣に取り合わなかったことが重大なバグの放置に繋がった事実がある以上、アップルも例外を認めたのかもしれません。
