Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。
セキュリティ研究者ホセ・ロドリゲス氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に関して、ある問題を指摘する。それは「報奨金が低い」という問題だ。
Appleが宣伝している報奨金の額は、ベンダーによる他のバグ報奨金プログラムの中でも特に低いわけではない。それでもロドリゲス氏は、脆弱性の発見と報告に対する報奨金を「Appleは低く見積もっている」と述べる。
ロドリゲス氏によると、ASBの報奨金はAppleのWebサイトに例示されている金額のごく一部にまで引き下げられることがある。AppleはASBの報奨金を最低10万ドル、最高25万ドルと宣伝している。だが同氏が受け取ることになっている金額は、その最低額の10分の1である2万5000ドルだ。
別の匿名セキュリティ研究者も、Appleが公表している報奨金リストを「詳細さに欠ける」と形容する。一方でこの研究者は「予想を若干上回る報奨金」を受け取ったことがあり、「報告の質や脆弱性の影響によって報奨金が変わることがある」と話す。
この研究者は、エクスプロイトチェーン(脆弱性の連鎖的な悪用)をAppleに報告した際の同社の応対にも言及する。同社はこのエクスプロイトチェーンを1つの大きな問題と見なして報奨金を上乗せするのではなく、個々の脆弱性に対して報奨金を支払ったという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。
ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。
ランサムウェア対策が不可欠な取り組みとなる中、サイバーレジリエンスを強化する手段として、「セーフガードコピー」を実装した製品が注目されている。本動画では、その機能や特徴を約3分で簡潔に紹介する。
サイバー攻撃の巧妙化が進み、攻撃対象はOS・アプリケーション層だけでなくハードウェアの土台である「ファームウェア」にまで拡大している。従来の対策では検知が難しい「見えない攻撃」に対抗するには、どのような方法を取ればよいのか。
ブラウザ上での業務が増加する一方、そのブラウザがサイバー攻撃の格好の標的となっている。そこで注目したいのが、SASEフレームワークにネイティブに統合されたセキュアブラウザだ。同ブラウザの特長や機能について詳しく解説する。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...