Appleはバグ報奨金プログラムの大幅な拡大と再設計を発表し、最大報奨金を倍増、新たな研究カテゴリの追加、より透明性の高い報酬構造の導入を行います。
このプログラムが2020年に開始されて以来、Appleは800人のセキュリティ研究者に合計3,500万ドルを支払い、一部の報告には50万ドルを支払いました。
最高報奨金は200万ドルに倍増されており、ゼロクリック(ユーザー操作不要)でリモートからの侵害につながる脆弱性の報告が対象です。これは傭兵型スパイウェア攻撃に類似しています。ただし、ボーナス制度により最大500万ドルまで報奨金が増額される場合もあります。
「これは業界で前例のない金額であり、私たちが知る限り、どのバグ報奨金プログラムよりも最大の報奨金です。さらに、Lockdownモードのバイパスやベータソフトウェアで発見された脆弱性に対する追加報酬を提供するボーナス制度により、この報奨金は2倍以上となり、最大で500万ドルを超えることができます」とAppleは述べています。
新しいプログラムスキームで増額または新設されたその他の報奨金は以下の通りです:
- ワンクリック(ユーザー操作あり)リモート攻撃 – 100万ドル
- ワイヤレス近接攻撃 – 100万ドル
- 広範な不正iCloudアクセス – 100万ドル
- WebKitエクスプロイトチェーンによる署名なし任意コード実行 – 100万ドル
- 物理アクセスによるロック済みデバイスへの攻撃 – 50万ドル
- アプリサンドボックスの回避 – 50万ドル
- ワンクリックWebKitサンドボックス回避 – 30万ドル
- ユーザー操作なしでのmacOS Gatekeeper完全回避 – 10万ドル
- 影響は小さいが有効な報告に対する「奨励賞」 – 1,000ドル
Appleは、ユーザー操作なしでの完全なGatekeeper回避や広範な不正iCloudアクセスを示す報告はこれまでに受け取ったことがないとコメントしており、これら2つはバグハンターにとって高難易度のポイントとなっています。
さらにAppleは、100万ドルの「ワイヤレス近接」報奨金(以前は25万ドル)に関して、「純粋にワイヤレス近接による実際のゼロクリック攻撃が観測されたことはない」と述べています。
このカテゴリも拡大され、Appleが開発したC1およびC1Xモデム、N1ワイヤレスチップなども対象となります。
2026年には、Appleは傭兵型スパイウェアの標的となるリスクが高い市民社会組織のメンバーに、1,000台のセキュアなiPhone 17デバイスを配布する予定です。
同じデバイスは来年、AppleのSecurity Research Device Programにも使用され、セキュリティ研究者は10月31日までに応募できます。
この報奨金増額によって、スパイウェアベンダーによる高度な攻撃チェーンの開発に追加の影響が生じ、研究者がセキュリティ問題の発見と報告により積極的になることをAppleは期待しています。
Appleは、高度なスパイウェア攻撃からユーザーを守るため、iOSにLockdownモードやメモリ整合性保護などの高度な保護機能を実装しており、これによりステルス性の高いスパイウェア攻撃の開発・実行コストが上昇しています。
