iPhoneの脆弱性に1億円、macOSも報告対象に　Appleがバグ報奨金を大幅変更：「tvOS」「watchOS」のバグ報告にも報奨金

Appleはバグ報奨金プログラムの対象を「macOS」の脆弱（ぜいじゃく）性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。

≫ 2019年09月14日 08時30分公開

[Michael Heller，TechTarget]

併せて読みたいお薦め記事

セキュリティのトレンドをチェック

「iOS 12」の機能を知る

バグ報奨金プログラムの対象拡大

　Appleはバグ報奨金プログラムの対象を、幅広いApple製品に拡大させる。これまでの対象はiOSと、Appleのクラウドサービス「iCloud」だけだったが、セットトップボックス「Apple TV」用OSの「tvOS」や、スマートウォッチ「Apple Watch」用OSの「watchOS」、macOSも対象に加える。

　「これまでは影響の大きい脆弱（ぜいじゃく）性に範囲を絞り、一部の研究者のみに限定していたが、非常に価値の高い報告が約50件寄せられた。これをさらに拡大し、2019年秋からはAppleセキュリティプログラムを全ての研究者に開放する」。クリスティッチ氏は壇上でこう述べた。

　Appleは一部の研究者に、同社が使用している開発モデルと同様のiOSデバイスを提供するという。クリスティッチ氏はこうしたデバイスがなければ報奨金プログラム参加の障壁になると認める。同社はこの新プログラム「iOS Security Research Device」を2020年に申し込み制で開始する。クリスティッチ氏は申し込み要件を明言しなかったが「何らかのプラットフォームに対する質の高いシステムセキュリティ研究実績」（同氏）があれば誰でも検討対象になるという。

　iOS Security Research Deviceへの参加を認められた研究者に対して、Appleは「製品用でも開発用でもない新しい研究用」（クリスティッチ氏）デバイスを提供する。このデバイスはリモート操作でコマンドを実行するSSH（Secure Shell）、root（管理者権限を持つユーザー）で使えるシェル、デバッグ機能が利用できるという。

　「他社製品の研究に時間を費やしてきた研究者を引き寄せたい」とクリスティッチ氏は語る。そうした研究者たちからは「Apple製品を研究したくても、ハードルが高過ぎる」という声が寄せられているという。「彼らは全ての機能を入手しないと研究に着手することすらできない」（同氏）

脆弱性によっては報奨金が1億円に

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

会員登録（無料）が必要です

驍ｯ螢ｹ窶ｳ郢ｧ螳夲ｽｪ�ｭ郢ｧﾂ

TechTargetジャパントップセキュリティ