Appleは8月4日(現地時間)、iOSおよびiCloudに関連したバグや脆弱性を発見した研究者に対し、最高20万ドルの報奨金を支払う「バグ報奨金プログラム」を9月から開始することを発表しました(MacRumors、Ars Technica、TechCrunch日本版)。
At #BlackHat2016, Apple just announced a new Security Bounty program and has promised to prioritize pushing updates. pic.twitter.com/1jXW1tNMrb
— Jay Freeman (saurik) (@saurik) 2016年8月4日
セキュリティカンファレンス「Black Hat Conference 2016」の講演中に Appleのセキュリティ責任者Ivan Krstic氏が発表した情報で、当初はiOSやiCloudだけを対象とし、過去に脆弱性を報告した経験のあるセキュリティ研修者のみに適用される小規模なプログラムとして始まる計画となっています。
報奨金プログラムは、以下の5つのカテゴリに分類されています:
- セキュアブートファームエアコンポーネント: 20万ドルまで
- Secure Enclaveによって保護された機密情報の抽出: 10万ドルまで
- カーネル権限による任意のコードの実行: 5万ドルまで
- サンドボックス内プロセスからのサンドボックス外ユーザーデータへのアクセス: 2.5万ドルまで
- Appleのサーバー上のiCloudアカウントデータへの非認証アクセス: 5万ドルまで
実際の報奨金の額は、脆弱性レポートの明確さや、利用者の遭遇確率、手順の複雑さなどさまざまな要素を加味して決められるとのこと。報奨金プログラムは今後、新規のセキュリティ研究者にも拡大されていく予定です。
昨今iOSの不具合の発見が相次いでいる要因の一つに、バグ報奨金プログラムの不在が挙げられていました。今回の決定により、脆弱性の発見・修正がこれまでよりも迅速に行われることが期待されます。