ハイテク企業たちは私たちにとって最も個人的な情報への鍵を握っている。給与の支払明細、健康の履歴、恋人とのチャットのログ、そして家族の写真アーカイブ。私たちがプライベートデータを渡せば渡すほど、データを安全に保存することによって企業が私たちの信頼を得ていくことがますます重要になっていく。
過去5年間で、ほとんどの主要なハイテク企業は、ハッカーからの脆弱性の報告を歓迎し現金でそれに報いる形のバグ報奨金プログラムを制定している。独自の報奨金プログラムを実行するための専門知識を持っていない企業は、外部の企業にこの重要なセキュリティの仕事を委託している。
しかし何年もの間、Appleはこの制度の導入を拒んでいた。セキュリティは企業物語の重要な一部をなしているが、Appleはこれまで無言のうちにバグへの報奨金支払を拒み、しばしばセキュリティ研究者をフラストレーションに晒して、欠陥をAppleに報告することを難しくしてしまっていた。しかしそれも今日変わった。Appleにおけるセキュリティエンジニアリングとアーキテクチャの長であるIvan Krsticが、最先端セキュリティ国際会議Black Hatの参加者に対して、Appleは製品に脆弱性を見つけた研究者に対して最高20万ドルまでの報奨金を支払うことを発表したのだ。
このKrsticの発表は、セキュリティアーキテクチャの周りに張り巡らせた秘密の扉を、Apple製品のセキュリティ向上に役立とうと考えるハッカーのコミュニティや研究者、暗号学者たちに開こうとしているAppleの努力の一環である。Black HatにおけるKrstic自身の講演も、HomeKit、AutoUnlock、そしてiCloudキーチェーンのセキュリティ機能について触れた、Appleとしては幾分珍しい種類のものだった。同社の代表がBlack Hatで話したのは4年ぶりのことで、通常ならAppleはセキュリティ関連のアナウンスを自身の会議であるWWDCで行うものだった。
「過去のAppleは、研究者たちとはあまり良い関係を結んでいませんでした」と述べるのは、SecurosisのCEOで、iOSのセキュリティを追い続けているアナリストでもあるRich Mogullである。「過去10年間で多くのことが変化して、より良い状態になって来ています」。バグ報奨金プログラムは正しい方向への一歩だと彼は述べた。
これまでAppleは、報奨金を出さない理由の一つとして、政府やブラックマーケットが支払う高い報酬の存在を挙げて来た。理屈はこうである:もしもっと高い金額を払ってくれる買い手が別にいるなら、どうしてこちらにわざわざ売ろうとするだろうか?確かに20万ドルはかなりの報酬で、企業が提供するバグ報奨金プログラムとしては最高額の1つだが、研究者が捜査機関やブラックマーケットから支払われる可能性のある金額に打ち勝つほどではない。例えば昨年12月にカリフォルニア州サンバーナディーノで起きた銃乱射事件に関わったサイード・ファルーク容疑者のiPhoneに侵入するために、FBIは噂によれば、ほぼ100万ドルを支払ったらしい。
バグ報奨金プログラムが、巨額の支払いを得ることにのみ関心があるハッカーを魅了することはほとんどない。現金のみが気になる相手が満足できる額をAppleが支払うことはないだろうとMongullは語った。しかし、世の中に対するインパクトを重んじる者にとっては、Appleからの小切手の持つ意味は全く違ってくる。「これは善い仕事を奨励するためのものです」とMogullは説明する。
Apple製品をクラックするために雇われた、Apple自身の侵入テスト担当者たちからの報告にも影響を受けて、Appleの幹部の考え方は変わった。脆弱性を発見することは、社内テスターであるか外部の研究者であるかを問わず、より困難になって来ているため、もはやバグ報告のためにより多くのインセンティブを提供すべき時なのだとAppleは語っているのだ。
「Appleは明らかに、内部では膨大な時間を使い、最も優秀な者を投入して努力をしてきました。それでも『脆弱性の発見はますます難しくなって来ている』という声が上がっているのです、彼らは『セキュリティへの対応をさらに推し進めたいという願いのためには、壁を乗り越えて外へ広げることが大切だ』と言っています」こう話すのはコンシューマーテクノロジーの研究者Ben Bajarinだ。「これは、彼らがこれまでやってきたセキュリティ作業の拡張です」。
脆弱性の発見と侵入が困難になるにつれ、Appleは研究者たちに、より深い仕事をしてもらうための奨励手段の必要性を感じている。研究者への開放は成果につながることが多い、と語るのはバグ報奨金プログラムHackerOneの共同創設者であるAlex Riceだ。
「バグ報奨金プログラムを開始して、それまで知らなかった脆弱性を発見できなかった会社はありません」とRiceは語る。「バグ報奨金プログラムを始めると、簡単な脆弱性は全て取り除かれ、ベストプラクティスに従うことになります。しかしそれでは十分でないことも彼らは知っています」。
Appleの招待者限定のバグ報奨金プログラムは、これまで同社に対して貴重な脆弱性の情報を報告した研究者に対してのみ適用される。このバグ報奨金プログラムの計画段階でAppleは他の企業に意見を求め、もし報奨金システムを一般向けのものにすると、大量のレポートの処理がリスクの高い脆弱性を埋もれさせてしまうだろうと結論付けたからである。
とはいえ、Appleは有益な情報を伝えてくれる新しい研究者に背を向けるつもりではなく、徐々にプログラムを拡大する予定だ。
9月に始まるプログラムは、リスクと報酬に応じて5つのカテゴリーに分かれている:
- セキュアブートファームウェアコンポーネントの脆弱性:20万ドルまで
- Secure Enclave(チップ内部のセキュリティ領域)から機密情報の抽出を可能にする脆弱性:10万ドルまで
- カーネル権限による任意または悪意のあるコードの実行:5万ドルまで
- Appleのサーバ上のiCloudアカウントのデータへのアクセス:5万ドルまで
- サンドボックス外のユーザデータへの、サンドボックスプロセスからのアクセス:2万5000ドルまで
報奨金受領の資格を得るためには、研究者は最新のiOSとハードウェア上で証拠を示す必要がある。脆弱性のそれぞれのカテゴリの最高額は示されたものまでだが、Appleは正確な報奨金の額を様々な要素を勘案して決定する。脆弱性レポートの明晰性、問題の新規性と利用者の遭遇確率、そして脆弱性につけ込むために必要な手順の複雑さの程度などだ。
更に珍しい試みだが、Appleは研究者たちが報奨金を慈善団体へ寄付することを奨励する手段を計画している。Appleが研究者の選択した団体を承認した場合、Appleが同額を更に拠出するというものだ – つまり20万ドルの報奨金が40万ドルになるのである。
[ 原文へ ]
(翻訳:Sako)