Appleバグバウンティプログラムの大幅な刷新
Appleは、同社のバグバウンティプログラムを大幅に拡大および再設計することを発表しました。これにより、最大報奨金が倍増され、新たな研究カテゴリが追加されるとともに、より透明性の高い報奨金体系が導入されます。2020年のプログラム開始以来、Appleは800人のセキュリティ研究者に総額3500万ドルを支払い、中には50万ドルの報奨金が支払われた報告もありました。
報奨金体系の主要な変更点
今回の刷新で、最高報奨金は200万ドルに倍増されました。これは、ユーザー操作を必要としない(ゼロクリック)リモートコード実行(RCE)脆弱性、特に傭兵スパイウェア攻撃に類似する脅威の報告に対して支払われます。Appleは、ボーナスシステムを通じて報奨金が最大500万ドルを超える可能性があると述べています。
Appleは、「これは業界で前例のない金額であり、我々が知る限り、どのバウンティプログラムよりも高額です。ロックダウンモードのバイパスやベータ版ソフトウェアで発見された脆弱性に対する追加報奨金システムにより、最大報奨金は500万ドルを超える可能性があります」とコメントしています。
その他の報奨金増加または新設カテゴリは以下の通りです。
- ワンクリック(ユーザー操作あり)リモート攻撃 – 100万ドル
- ワイヤレス近接攻撃 – 100万ドル
- 広範な不正iCloudアクセス – 100万ドル
- WebKitエクスプロイトチェーンによる未署名任意コード実行 – 100万ドル
- 物理アクセスによるロックされたデバイスへの攻撃 – 50万ドル
- アプリサンドボックスエスケープ – 50万ドル
- ワンクリックWebKitサンドボックスエスケープ – 30万ドル
- macOS Gatekeeperのユーザー操作なし完全バイパス – 10万ドル
- 低影響だが有効な報告に対する「奨励賞」 – 1,000ドル
Appleのコメントと今後の展望
Appleは、ユーザー操作なしの完全なGatekeeperバイパスや広範な不正iCloudアクセスに関する報告を「一度も受け取ったことがない」とコメントしており、これらがバグハンターにとって高い挑戦点であることを示唆しています。また、「現実世界で、ワイヤレス近接のみで実行されるゼロクリック攻撃を観測したことはない」とも述べ、以前の25万ドルから増額された100万ドルの「ワイヤレス近接」報奨金に言及しました。このカテゴリは、C1およびC1Xモデム、N1ワイヤレスチップなどのApple開発チップを含むように拡大されています。
2026年には、Appleは傭兵スパイウェアの標的となるリスクが高い市民社会組織のメンバーに、セキュリティ強化型iPhone 17デバイスを1000台配布する計画です。また、セキュリティ研究者向けの「Security Research Device Program」も来年実施され、10月31日までに申請が可能です。
Appleは、報奨金の増額がスパイウェアベンダーによる高度な攻撃チェーンの開発に影響を与え、研究者がセキュリティ問題をより積極的に発見・報告するインセンティブになると期待しています。ユーザーを高度なスパイウェア攻撃から保護するため、AppleはiOSにLockdown ModeやMemory Integrity Enforcementなどの高度な保護対策を実装し、スパイウェア攻撃の開発と実行をより困難にしています。