iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更「tvOS」「watchOS」のバグ報告にも報奨金

Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。

2019年09月14日 08時30分 公開
[Michael HellerTechTarget]

関連キーワード

Apple | OS | 脆弱性 | iPhone | iOS


画像

 Appleが初めてバグ報奨金プログラムを発表したのは2016年、セキュリティカンファレンス「Black Hat 2016」の会場だった。そして2019年、同社はこのプログラムの対象に「macOS」を加え、「iOS」向けの報奨金を引き上げると発表した。同社でセキュリティのエンジニアリングとアーキテクチャの責任者を務めるアイバン・クリスティッチ氏は、この大ニュースを「Black Hat 2019」でのプレゼンテーションの最後に発表した。

バグ報奨金プログラムの対象拡大

 Appleはバグ報奨金プログラムの対象を、幅広いApple製品に拡大させる。これまでの対象はiOSと、Appleのクラウドサービス「iCloud」だけだったが、セットトップボックス「Apple TV」用OSの「tvOS」や、スマートウォッチ「Apple Watch」用OSの「watchOS」、macOSも対象に加える。

 「これまでは影響の大きい脆弱(ぜいじゃく)性に範囲を絞り、一部の研究者のみに限定していたが、非常に価値の高い報告が約50件寄せられた。これをさらに拡大し、2019年秋からはAppleセキュリティプログラムを全ての研究者に開放する」。クリスティッチ氏は壇上でこう述べた。

 Appleは一部の研究者に、同社が使用している開発モデルと同様のiOSデバイスを提供するという。クリスティッチ氏はこうしたデバイスがなければ報奨金プログラム参加の障壁になると認める。同社はこの新プログラム「iOS Security Research Device」を2020年に申し込み制で開始する。クリスティッチ氏は申し込み要件を明言しなかったが「何らかのプラットフォームに対する質の高いシステムセキュリティ研究実績」(同氏)があれば誰でも検討対象になるという。

 iOS Security Research Deviceへの参加を認められた研究者に対して、Appleは「製品用でも開発用でもない新しい研究用」(クリスティッチ氏)デバイスを提供する。このデバイスはリモート操作でコマンドを実行するSSH(Secure Shell)、root(管理者権限を持つユーザー)で使えるシェル、デバッグ機能が利用できるという。

 「他社製品の研究に時間を費やしてきた研究者を引き寄せたい」とクリスティッチ氏は語る。そうした研究者たちからは「Apple製品を研究したくても、ハードルが高過ぎる」という声が寄せられているという。「彼らは全ての機能を入手しないと研究に着手することすらできない」(同氏)

脆弱性によっては報奨金が1億円に

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

技術文書・技術解説 アイティメディア広告企画(2025年04-06月クラウドネイティブ特集)

「クラウドはセキュリティが駄目」は本当? クラウドセキュリティの基礎まとめ

クラウドとオンプレミス、セキュリティ面でどちらが優れているかという議論は絶えない。クラウドのセキュリティはオンプレミスよりも劣っているのか。クラウドセキュリティの基礎と併せて解説する。

技術文書・技術解説 アイティメディア広告企画(2025年02-03月ネットワークセキュリティ特集)

DDoS攻撃で生成AIが停止? LLMを狙う10の脅威とその対策

生成AIを支える大規模言語モデル(LLM)は、DDoS攻撃やプロンプトインジェクション、不正出力の誘導などさまざまな脅威にさらされている。利用時に押さえておきたい「LLMの10大脅威」と、その対策を解説する。

事例 アイティメディア広告企画(2025年02-03月ネットワークセキュリティ特集)

「Web会議で回線逼迫」を解決した北里研究所の「通信最適化×セキュリティ対策」

北里研究所は、Web会議やクラウドサービス利用の拡大に伴う回線逼迫に対処するため、新たなネットワーク構成を導入した。併せて適切なセキュリティ対策も講じている。通信最適化の具体的な手法と導入による効果とは。

プレミアムコンテンツ アイティメディア広告企画(2025年02-03月ネットワークセキュリティ特集)

「ファイアウォール」5種の違いとは? その仕組みを比較

「ファイアウォール」の仕組みはどれも同じではなく、幾つかの種類に分類できる。いまさら聞きづらいその仕組みを、ファイルアウォールの種類別に解説する。

プレミアムコンテンツ アイティメディア広告企画(2025年02-03月ネットワークセキュリティ特集)

「ファイアウォール」のいまさら聞けない基礎知識 その役割、運用方法は?

「ファイアウォール」のいまさら聞けない基礎知識 その役割、運用方法は?

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/29 UPDATE

  1. Web繧貞ョ医k縲係AF縲阪→縲軍ASP縲阪�莉慕オ�∩縺ィ縺ッ�溘€€荳。閠��驕輔>縺ッ��
  2. 蜷悟�縺ッ蛹玲悃魄ョ縺ョ窶懊せ繝代う繧ィ繝ウ繧ク繝九い窶晢シ溘€€蟆る摩螳カ繧ゅ□縺セ縺輔l繧句キァ螯吶↑貎懷�謇句哨
  3. 繝代せ繝ッ繝シ繝峨h繧雁ョ牙�縺ァ隕壹∴繧�☆縺�€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪�菴懊j譁ケ
  4. 繧ケ繝槭�繧貞�髮サ縺励◆縺�縺代↑縺ョ縺ォ笏€笏€繝槭Ν繧ヲ繧ァ繧「諢滓沒繧呈魚縺上€後ず繝・繝シ繧ケ繧ク繝」繝�く繝ウ繧ー縲阪→縺ッ
  5. 窶廬T繧ケ繝代う窶昴′遉セ蜀�↓�溘€€蛹玲悃魄ョ縺ョ貎懷�繧ィ繝ウ繧ク繝九い縺檎、コ縺�8縺、縺ョ蜈�€吶→謦�€€豕�
  6. 荳ュ譚ア莨∵・ュ縺ョ繧サ繧ュ繝・繝ェ繝�ぅ萓オ螳ウ蝣ア蜻翫′縲�100遉セ荳ュ2遉セ縲阪↓縺ィ縺ゥ縺セ繧銀€憺國蛹ソ譁�喧窶昴�豁」菴�
  7. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  8. 縲檎屮隕悶き繝。繝ゥテ輸I縲阪〒陦嶺クュ繧貞ョ牙�縺ォ縲€髻灘嵜螻慕、コ莨壹〒隕九∴縺溘そ繧ュ繝・繝ェ繝�ぅ縺ョ騾イ蛹�
  9. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  10. 繝代せ繝ッ繝シ繝峨�繧€縺励m縲悟些髯コ縲搾シ溘€€隱崎ィシ蝓コ逶、繧貞シキ蛹悶☆繧九%縺、縺ッ

iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更:「tvOS」「watchOS」のバグ報告にも報奨金 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...