Apple は、今年の Black Hat セキュリティ カンファレンスのプレゼンテーションで、これまで発見されていなかったソフトウェアおよびハードウェアの脆弱性に対して現金を支払う、史上初のバグ報奨金プログラムを実施する計画を発表しました。
番組が生放送されると9月に、Appleの最新製品の弱点を調査しているセキュリティ研究者は、現金の報酬または報奨金のために、実用的なエクスプロイトを引き渡すことができるでしょう。中小企業や業界団体が報奨金インセンティブを盗むのは珍しくなく、Apple は社内テストから公的インセンティブに移行した最後の主要家電ブランドの 1 つとなっています。
Apple のプレゼンテーションで述べられているように、最初の報奨金セットは、高レベルのコンピューティング資産とファーストパーティのセキュリティ要素の防御を強化することを目的としています。最高支払額には、セキュア ブート ファームウェア コンポーネントの場合は 200,000 ドル、Secure Enclave Processor によって保護された機密資料の抽出の場合は 100,000 ドル、カーネル権限による任意のコードの実行の場合は 50,000 ドル、Apple サーバー上の iCloud アカウント データへの不正アクセスの場合は 50,000 ドル、コンピュータからのアクセスの場合は 25,000 ドルが含まれます。サンドボックス化されたプロセスを、そのサンドボックス外のユーザー データに送信します。
Apple のあらゆるものと同様、バグ報奨金の支払いメカニズムにも工夫が施されています。慈善活動に賞を寄付することを選択したセキュリティ研究者は、その寄付が Apple によって 1 対 1 でマッチングされることになります。
今のところ、Apple のバグ探索装置は、招待された研究者の選ばれたグループにのみ公開されます。同社は、具体的に誰が参加を求められたのかについては明らかにしていないが、特に興味深いバグを見つけた非メンバーは、エリート幹部に加わるよう招待される可能性があると述べた。
Apple は当初の一連のバグ カテゴリを超えてプログラムを拡張するつもりのようですが、今日それらの計画の詳細は明らかにされませんでした。
Apple は製品のセキュリティに関して常に外部からの意見を受け入れており、最近の例としては Android の Stagefright エクスプロイトに似た潜在的に危険な iOS の脆弱性の発見が挙げられます。この欠陥は iOS、Mac、tvOS デバイスに影響を与えましたが、パッチが適用されました7月の一連のソフトウェアアップデートで。
Apple はバグ報奨金プログラムによって、ホワイトハッカーとグレーハットハッカーの両方に役立つモデルである脅威の発見を奨励したいと考えています。自社製品への注目が高まるほど、世界中の何百万ものデバイス所有者に影響が及ぶ前に、Apple が脅威を検出して対処できる可能性が高くなります。
Isamu 
Isamu 
Isamu