Appleは金曜日、バグ報奨金プログラムの大幅な更新を発表し、複雑なエクスプロイトチェーンに対して最大200万ドルの報酬を提供することになりました。
2020年にパブリックバグ報奨金プログラムを開始して以来、Appleは800人以上のセキュリティ研究者に総額3,500万ドル以上を授与しました。複数のハッカーがその功績により50万ドルを獲得したとAppleは述べています。
このテックジャイアントは最近、傭兵型スパイウェアベンダーによる攻撃など高度な攻撃に対抗するために設計されたiPhone向けの常時オンのメモリ安全保護機能であるMemory Integrity Enforcement(MIE)を発表しました。
Appleは、これらのスパイウェア攻撃こそが実際に顧客に重大な脅威をもたらす唯一のものであると考えており、今後さらに高度な攻撃に対して自社製品のセキュリティを強化したいと考えています。
そのために、社外の攻撃的セキュリティ人材を活用し、特に傭兵型スパイウェア攻撃のエクスプロイトチェーンで利用されるような脆弱性に対するバグ報奨金を大幅に増額しています。
具体的には、リモートハッキングを実現するゼロクリックエクスプロイトチェーンの最高報酬が100万ドルから200万ドルに引き上げられました。Appleは、これは基本報酬であり、研究者はロックダウンモードのバイパスやベータソフトウェアで発見された脆弱性に対するボーナスを獲得すれば、理論上最大500万ドルを得ることも可能だと指摘しています。
Appleは木曜日の記者との電話会議で、500万ドルの報酬を得るのは簡単でも現実的でもないが、理論的には可能だと述べました。
また、アプリケーションサンドボックスからの脱出(15万ドルから50万ドルへ)、ロックされたデバイスへの物理的アクセスを必要とする攻撃(25万ドルから50万ドルへ)、物理的近接を必要とするワイヤレス攻撃(25万ドルから100万ドルへ)、ワンクリックのユーザー操作を必要とするリモートハッキング(25万ドルから100万ドルへ)に対するバグ報奨金も大幅に増額されています。
同社はまた、WebKit保護を突破しなければならないウェブブラウザ経由のワンクリック攻撃について、サンドボックスからの脱出を伴うコード実行が可能な場合は最大30万ドルを支払うと発表しました。さらに、チェーンが進み、任意の権限で署名されていないコード実行が達成された場合、報酬は最大100万ドルに増額されます。
このテックジャイアントは、これまでにエクスプロイトが実証されていないカテゴリ、例えばmacOSのGatekeeperバイパス(10万ドル)や不正なiCloudアクセス(100万ドル)についても報酬を増額しています。
新しい報酬額は2025年11月から適用されます。
Appleは金曜日、キャプチャ・ザ・フラッグ(CTF)競技のようなフラッグを用いた新しいコンセプトも導入しました。これらの「ターゲットフラッグ」は、研究者が自分の発見を客観的に示し、報告に対してどの報酬が期待できるかを分かりやすくするためのものです。
「研究者がターゲットフラッグを使ってセキュリティ問題を実証すると、獲得した特定のフラッグが、レジスタ制御、任意の読み書き、コード実行など、特定の能力レベルを客観的に示し、それが報酬額に直接対応するため、これまで以上に透明性の高い報酬決定が可能になります」とAppleは説明しています。
「ターゲットフラッグはAppleによってプログラム的に検証できるため、ターゲットフラッグ付きで有効な報告を提出した研究者は、フラッグの検証が完了次第、即座に報奨金の通知を受け取ることができます」とも述べています。
ターゲットフラッグはiOS、iPadOS、macOS、visionOS、watchOS、tvOSでサポートされています。
Appleはまた、優れた研究には引き続きボーナスが与えられること、影響の小さい脆弱性であっても研究者の報告を奨励するために1,000ドルの報酬が与えられる場合があることも発表しました。
