「Appleのバグ報奨金は安過ぎる」と語るセキュリティ研究者の言い分「Appleセキュリティバウンティ」は改善したのか【第4回】

Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。

2022年06月01日 08時15分 公開
[Alexander CulafiTechTarget]

関連キーワード

Apple | 脆弱性


 セキュリティ研究者ホセ・ロドリゲス氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に関して、ある問題を指摘する。それは「報奨金が低い」という問題だ。

 Appleが宣伝している報奨金の額は、ベンダーによる他のバグ報奨金プログラムの中でも特に低いわけではない。それでもロドリゲス氏は、脆弱性の発見と報告に対する報奨金を「Appleは低く見積もっている」と述べる。

Appleのバグ報奨金は妥当なのか

 ロドリゲス氏によると、ASBの報奨金はAppleのWebサイトに例示されている金額のごく一部にまで引き下げられることがある。AppleはASBの報奨金を最低10万ドル、最高25万ドルと宣伝している。だが同氏が受け取ることになっている金額は、その最低額の10分の1である2万5000ドルだ。

 別の匿名セキュリティ研究者も、Appleが公表している報奨金リストを「詳細さに欠ける」と形容する。一方でこの研究者は「予想を若干上回る報奨金」を受け取ったことがあり、「報告の質や脆弱性の影響によって報奨金が変わることがある」と話す。

 この研究者は、エクスプロイトチェーン(脆弱性の連鎖的な悪用)をAppleに報告した際の同社の応対にも言及する。同社はこのエクスプロイトチェーンを1つの大きな問題と見なして報奨金を上乗せするのではなく、個々の脆弱性に対して報奨金を支払ったという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news041.jpg

SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...

news143.jpg

HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...

news125.jpg

電通調査で「料理は面倒」が6割超 なぜそうなった?
電通の国内電通グループ横断プロジェクト「電通 食生活ラボ」は、「食生活に関する生活者...