2019年09月14日 08時30分 公開
特集/連載

「tvOS」「watchOS」のバグ報告にも報奨金iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更

Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。

[Michael Heller,TechTarget]

関連キーワード

Apple | OS | 脆弱性 | iPhone | iOS


画像

 Appleが初めてバグ報奨金プログラムを発表したのは2016年、セキュリティカンファレンス「Black Hat 2016」の会場だった。そして2019年、同社はこのプログラムの対象に「macOS」を加え、「iOS」向けの報奨金を引き上げると発表した。同社でセキュリティのエンジニアリングとアーキテクチャの責任者を務めるアイバン・クリスティッチ氏は、この大ニュースを「Black Hat 2019」でのプレゼンテーションの最後に発表した。

バグ報奨金プログラムの対象拡大

 Appleはバグ報奨金プログラムの対象を、幅広いApple製品に拡大させる。これまでの対象はiOSと、Appleのクラウドサービス「iCloud」だけだったが、セットトップボックス「Apple TV」用OSの「tvOS」や、スマートウォッチ「Apple Watch」用OSの「watchOS」、macOSも対象に加える。

 「これまでは影響の大きい脆弱(ぜいじゃく)性に範囲を絞り、一部の研究者のみに限定していたが、非常に価値の高い報告が約50件寄せられた。これをさらに拡大し、2019年秋からはAppleセキュリティプログラムを全ての研究者に開放する」。クリスティッチ氏は壇上でこう述べた。

 Appleは一部の研究者に、同社が使用している開発モデルと同様のiOSデバイスを提供するという。クリスティッチ氏はこうしたデバイスがなければ報奨金プログラム参加の障壁になると認める。同社はこの新プログラム「iOS Security Research Device」を2020年に申し込み制で開始する。クリスティッチ氏は申し込み要件を明言しなかったが「何らかのプラットフォームに対する質の高いシステムセキュリティ研究実績」(同氏)があれば誰でも検討対象になるという。

 iOS Security Research Deviceへの参加を認められた研究者に対して、Appleは「製品用でも開発用でもない新しい研究用」(クリスティッチ氏)デバイスを提供する。このデバイスはリモート操作でコマンドを実行するSSH(Secure Shell)、root(管理者権限を持つユーザー)で使えるシェル、デバッグ機能が利用できるという。

 「他社製品の研究に時間を費やしてきた研究者を引き寄せたい」とクリスティッチ氏は語る。そうした研究者たちからは「Apple製品を研究したくても、ハードルが高過ぎる」という声が寄せられているという。「彼らは全ての機能を入手しないと研究に着手することすらできない」(同氏)

脆弱性によっては報奨金が1億円に

ITmedia マーケティング新着記事

news139.jpg

新型コロナウイルスの感染拡大で注目される「巣ごもり消費」に関する意識――カンム調査
外出控えムードの中、消費意欲は「自宅でのエンタメ」に向かっているようです。

news091.jpg

オンライン医療が進む中国と台湾、日本 iOS「メディカル」アプリ最新人気ランキング
今回は、2020年2月度における中国、台湾、日本市場におけるiOS「メディカル」モバイルア...

news137.jpg

SDGsへの取り組みが最も高く評価された企業はトヨタ自動車――ブランド総合研究所調査
国内の主力企業のSDGsへの取り組みやESG活動に対して1万500人に聞いています。