Appleが、iPhoneやMacの脆弱性を発見したハッカーに報奨金を出すプログラムを開始して1年が経とうとしていますが、これまでに報奨金が支払われたという情報はありません。これは、iPhoneやMacのセキュリティレベルが非常に高いことを意味するのですが、Motherboardによると、話はそう単純ではないようです。

Appleが方針転換、脆弱性の発見者に報奨金

Appleは2016年8月、iOSやmacOSなどに脆弱性を発見すれば、最大で20万ドル(約2,300万円)の報奨金を支払うプログラムを同年9月から開始すると発表しました。
 

 
セキュリティ上の問題点を発見するため、高度な技術を持ち日々研究を続けるハッカーたちの力を借りる同様のプログラムは、GoogleやMicrosoft、Facebookなど多くのテクノロジー企業で実施されています。しかし、秘密主義で知られるAppleが、バグ発見者に報奨金を支払うという方針転換は驚きを持って受け止められました。
 
ただしAppleのプログラムは、誰でも参加できるのではなく、Appleから招待を受ける必要があります。

最高20万ドルという金額は妥当か?

Appleの脆弱性発見プログラムが、ハッカーたちにとって魅力的でない理由は2つあります
 
理由のひとつは、iPhoneのセキュリティが非常に強固であり、脆弱性を発見するのは至難の業であるゆえに、バグがグレーマーケットで高値で取引されていることにある、とMotherboardが指摘しています。
 
研究者からソフトウェアの脆弱性情報を買い取り、iPhoneの「脱獄」に必要な情報を販売していることで知られるZerodiumは、脆弱性情報発見者に150万ドル(約1億7,000万円)を払う、と発表しているほか、Exodus Intelligenceも、iOSの脆弱性情報に最大50万ドル(約5,700万円)を支払っています。
 

Zerodiumの脆弱性発見者への報奨金支払いプロセス


 
つまり、世界トップクラスと言われるセキュリティレベルを誇るソフトウェアの脆弱性の発見に対して、20万ドルという報奨金は妥当ではない、というわけです。

「iOSのバグは、貴重すぎてAppleに報告できない」

Motherboardが10名の研究者にコンタクトしたところ、Appleにバグを報告した者はおらず、今後の報告について積極的な者もいませんでした。これは、バグが非常に貴重なので、Appleに報告して「修正」されてしまうと、それ以上の研究を進めることができなくなるのがその理由です。
 
パトリック・ワードル氏は、アメリカ国家安全保障局(NSA)勤務のハッカーという経歴を持ち、現在はセキュリティ企業SynackのmacOS専門の研究者です。Appleからバグ発見プログラムに招待を受け参加している同氏は「iOSのバグは、貴重すぎてAppleに報告できない」と語ります。

 
彼らが欲しいのがお金なら、バグをApple以外の企業に報告したほうが、得られる金額は大きくなります。研究を深めたいのなら、Appleへの報告は自らの研究を制限することになってしまいます。
 
Appleが招待した研究者との契約書は、発見した脆弱性に関する情報を明らかにしたり議論したりすることを厳しく禁止してはいません。ただし、情報の公開は脆弱性が修正されるまで待つことが求められています。
 
これは、自らの発見を公開し、議論することを好む研究者の行動を制限することを意味します。

有名ハッカーを雇用したApple

今年3月、iPhoneの「脱獄」コミュニティで有名なハッカー、ジョナサン・ズジアスキ(Jonathan Zdziarski)氏をAppleが雇用したことが話題となりました。
 
同氏は、Appleでセキュリティやプライバシー保護の強化を担当していると見られています。

 
 
Source:Motherboard
Photo:Zerodium
(hato)