Apple(アップル)は、セキュリティー研究者たちが長年望んできたものをようやく提供することになった。macOSのバグ報奨金プログラムだ。
米国時間8月9日に、ITの巨人であるAppleはMac、MacBookおよびApple TV、Apple Watch向けにバグ報奨金プログラムを実施することを発表した。iOS向けバグ報奨金プログラムをスタートしてからちょうど3年後だ。
アイデアはシンプルだ。脆弱性を見つける、Appleに報告する、Appleが修正する。報酬として現金を受け取る。こうしたプログラムは業界では広く行われており、セキュリティー研究者に報奨金を支払うことで、深刻なセキュリティー欠陥が悪意ある者たちに利用されるのを未然に防げる。またこれには、バグの発見者が問題を脆弱性ブローカーに売ったりブラックマーケットに流すのを防ぐ意味もある。
しかしAppleはバグ報奨金プログラムをMacなどの製品向けに実施することに消極的だった。セキュリティー研究者の中には、報奨金制度がないからAppleにはセキュリティー欠陥を報告しないという人たちもいる。
ラスベガスで行われたBlack Hatカンファレンスで、Appleのセキュリティー技術・アーキテクチャー責任者のIvan Krstić(イヴァン・クリスティク)氏は、iOSに続いて今回のバグ報奨金プログラムを行うことを発表した。
セキュリティー専門家で、Jamfの主任セキュリティー研究員であるPatrick Wardle(パトリック・ワードル)氏は、今回の行動を「当然のこと」だと語った。
ワードル氏はいくつかの重要なセキュリティー脆弱性を発見し、企業に対応する時間を与えることなくリリース直前に公開するとともに、macOSにバグ報奨金プログラムがないことを指摘した。同氏はAppleがバグ報奨制度を持たないことを長年批判しており、セキュリティー研究者が欠陥をブローカーに売る機会を与えていることを非難してきた
「Appleには驚くほど有能な研究者やセキュリティー専門家がいるが、外部の独立研究者と透明で相互に有益な関係を持ったことはない」とワードル氏は言う。
「これはAppleにとっての勝利であることはもちろんだが、究極的にはAppleのエンドユーザーにとっての巨大な勝利だ」と付け加えた。
Appleは、このバグ報奨金プログラムを全研究者に向けて開放し、報奨金も現在の脆弱性1件につき最高20万ドルから、100万ドルに引き上げる。
さらにAppleは、一般公開前のプレスリリースビルドの脆弱性を見つけた研究者には、通常の報奨金に加えて最大50%のボーナスを与えるとも言った。
バグ報奨金プログラムは全セキュリティー研究者を対象に今年中に実施される。
またAppleは、今週米国で発売されたForbes誌に掲載された、退役軍人および信頼できるセキュリティー研究者およびハッカーたちに対して、新たなiOSセキュリティー研究用端末プログラムの元で大量の「dev」iPhoneを配布するという記事の内容を正式に認めた。これは特別なデバイスで、セキュアーシェルなどのように、一般のセキュリティー研究者は利用できないシステムやオペレーティングシステムのさまざまな機能をを利用できる。
Appleは、バグ報奨金プログラムを拡大することで、さらに多くの研究者に問題の発見を促し、顧客の安全性を高められることを期待していると言った。
関連記事
アップルは子ども向けのiPhoneアプリの広告とサードパーティ製トラッカーを規制
FBIとアップルの法廷闘争の内幕を暴く本が出版へ
アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信
密かに画面を録画する有名なiPhoneアプリ
Apple rebukes Australia’s ‘dangerously ambiguous’ anti-encryption bill
Apple Cardはクレジットカード詐欺をずっと難しくする
[原文へ]
(翻訳:Nob Takahashi / facebook