「Appleのバグ報奨金は安過ぎる」と語るセキュリティ研究者の言い分:「Appleセキュリティバウンティ」は改善したのか【第4回】
Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。
セキュリティ研究者ホセ・ロドリゲス氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に関して、ある問題を指摘する。それは「報奨金が低い」という問題だ。
Appleが宣伝している報奨金の額は、ベンダーによる他のバグ報奨金プログラムの中でも特に低いわけではない。それでもロドリゲス氏は、脆弱性の発見と報告に対する報奨金を「Appleは低く見積もっている」と述べる。
Appleのバグ報奨金は妥当なのか
ロドリゲス氏によると、ASBの報奨金はAppleのWebサイトに例示されている金額のごく一部にまで引き下げられることがある。AppleはASBの報奨金を最低10万ドル、最高25万ドルと宣伝している。だが同氏が受け取ることになっている金額は、その最低額の10分の1である2万5000ドルだ。
別の匿名セキュリティ研究者も、Appleが公表している報奨金リストを「詳細さに欠ける」と形容する。一方でこの研究者は「予想を若干上回る報奨金」を受け取ったことがあり、「報告の質や脆弱性の影響によって報奨金が変わることがある」と話す。
この研究者は、エクスプロイトチェーン(脆弱性の連鎖的な悪用)をAppleに報告した際の同社の応対にも言及する。同社はこのエクスプロイトチェーンを1つの大きな問題と見なして報奨金を上乗せするのではなく、個々の脆弱性に対して報奨金を支払ったという。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.