Appleの強化されたバグ報奨金プログラム:ゲームチェンジャー
サイバーセキュリティが最重要視される業界において、Microsoft、Google、Metaといった巨大テクノロジー企業が、バグバウンティプログラムを導入するケースが増えています。これらの取り組みは、倫理的なハッカーがソフトウェアの脆弱性を発見・報告することを奨励し、発見者には金銭的なインセンティブを提供しています。最近、Appleはプログラムに大幅な変更を加え、報奨金の額と対象範囲を拡大しました。
賞金2倍増:新たな報酬体系
Appleは公式アップデートで発表したように、バグ報奨金プログラムの最高報奨金を100万ドルから200万ドルへと倍増すると発表しました。この最高額の報奨金は、ユーザー操作を必要としない高度な攻撃に特化しています。さらに、Appleのロックダウンモードの回避などの追加ボーナスと組み合わせることで、報奨金は驚異の500万ドルに達する可能性があります。注目すべき事例としては、iCloudへの「広範な不正アクセス」に対して100万ドルの報奨金が設定されており、これはプログラムにおける画期的な進展を示しています。
カテゴリーの拡大と支払いの加速
報奨金の増額と並行して、Appleは新たな脆弱性カテゴリーを導入し、評価プロセスを迅速化するために「ターゲットフラグ」も導入します。これらのフラグにより、報告された脆弱性が特定の基準を満たしているかに基づいて、より迅速な報奨金の支払いが可能になります。
報酬レベルの改訂:2025年11月発効
以下の表は、2025 年 11 月に発効される、さまざまな種類の攻撃に対する最大報酬の調整の概要を示しています。
| 攻撃の種類 | 現在の最大値 | 新しい最大値 |
|---|---|---|
| ゼロクリックチェーン: ユーザーの操作を必要としないリモート攻撃 | 100万ドル | 200万ドル |
| ワンクリックチェーン: 1 回のユーザー操作を必要とするリモート攻撃 | 25万ドル | 100万ドル |
| 無線近接攻撃:デバイスへの物理的な近さが必要 | 25万ドル | 100万ドル |
| 物理デバイスアクセス: ロックされたデバイスに物理的にアクセスする | 25万ドル | 50万ドル |
| アプリサンドボックスからの脱出: アプリサンドボックスから SPTM バイパスへ | 15万ドル | 50万ドル |
追加の変更と歴史的背景
新しい報奨金制度に加え、AppleはmacOS Gatekeeperの回避に対して10万ドルの報奨金を、影響度の低い報告に対しては1, 000ドルの報奨金を支給します。2020年にAppleセキュリティ報奨金プログラムを開始して以来、同社は800人以上のセキュリティ研究者に3, 500万ドル以上を授与してきました。今回の報奨金の見直しとカテゴリーの拡大により、Appleはより多くの倫理的なハッカーを惹きつけ、製品の脆弱性を特定させ、最終的には製品のセキュリティと信頼性を向上させることを目指しています。
詳細については、こちらで記事全文をご確認いただけます。
コメントを残す