アップル、バグ報奨金プログラムをmacOSなどに拡大。最高額は約1億円に引き上げ
アップルのセキュリティ担当責任者Ivan Krstic氏は米ラスベガスで開催された「Black Hat USA 2019」にて、バグ報奨金プログラムをmacOS、tvOS、watchOSおよびiCloudにも拡大することを発表しました。報奨金の最高額を、従来の20万ドルから100万ドルに引き上げることも告知されています。アップルは2016年8月にバグ報奨金プログラムを開始しましたが、iOS向けのみに限定。そこにはmacOSが含まれておらず、セキュリティコミュニティから批判が集中していた経緯があります。今年3月にもmacOS Mojaveのキーチェーン脆弱性を発見した研究者が報酬を求めたもののアップルに黙殺され、全情報とパッチを無償で提供する一件がありました。
また、先日噂が報じられたとおり、ハッキング対策のための特別な権限をあらかじめ設定したiPhoneをセキュリティ専門家に配布することも発表されました。こちらは「iOS Security Research Device Program」の一部として、来年に開始と予告されています。
こうしたセキュリティ研究者への手厚い協力や報奨金の増額が約束される背景には、iOS以外のアップル製OSには報奨金制度がなく、iOS向け報奨金も安すぎるとのセキュリティ研究者達の不満がありました。そのため重大な脆弱性が発見されてもアップルに報告されず闇市場で取引されているとの報道もありましたが、今後は研究者の積極的な協力が得られるようになるかもしれません。
