Apple、バグ報奨金プログラムを刷新し、高度な傭兵型スパイウェア攻撃に対抗
Appleの最新iPhoneチップに追加された新しいメモリ安全機能により、特定の種類のエクスプロイトが実行しづらくなったことを受け、同社はバグ報奨金プログラムを刷新し、さまざまな攻撃カテゴリで報奨金を2倍または4倍に引き上げました。研究者が責任を持ってAppleに報告したiOSのゼロクリックシステムレベルのリモートコード実行(RCE)エクスプロイトの報奨金は、来月から100万ドルから200万ドルに引き上げられます。
「高度な傭兵型スパイウェア攻撃と同等の目標を達成できるエクスプロイトチェーンに対して、最高報奨金を200万ドルに倍増します」とAppleのセキュリティチームはブログ投稿で述べています。「これは業界で前例のない金額であり、私たちが知る限り、どのバグ報奨金プログラムよりも高額です。また、ロックダウンモードのバイパスやベータソフトウェアで発見された脆弱性に対する追加報奨金制度により、この報奨金は2倍以上となり、最大で500万ドルを超えることもあります。」
iOSとAndroidの両方が、世界中の情報機関や法執行機関にモバイルスパイ機能を販売する監視ソフトウェア業者の標的となってきました。これらの業者は長年にわたり顧客を慎重に審査していると主張していますが、通常ゼロデイエクスプロイトを通じて展開される彼らのソフトウェアは、しばしば抑圧的な政権の手に渡り、政治活動家やジャーナリストの監視に利用されてきました。その他のゼロデイエクスプロイトは、情報機関が自社開発したものやグレーマーケットから入手したもので、サイバースパイ活動に利用されています。
Appleは今年これまでにiOSのゼロデイエクスプロイトを合計8件、2024年には6件修正しています。先月だけでも、iOSのImageIOコンポーネントの脆弱性(CVE-2025-43300)を修正し、これはWhatsAppのゼロデイ脆弱性(CVE-2025-55177)と組み合わされ、推定200人が標的となりました。
「私たちが実際に野生で観測しているシステムレベルのiOS攻撃は、傭兵型スパイウェアによるものだけです。これらは極めて高度なエクスプロイトチェーンで、歴史的に国家主体と関連し、開発に数百万ドルがかかり、ごく少数の標的個人に対して使用されています」とAppleは述べています。「ロックダウンモードやメモリ整合性保護により、こうした攻撃の開発コストや難易度は劇的に上がりましたが、最先端の攻撃者は引き続き手法を進化させると認識しています。」
CPUレベルのメモリ安全性向上
先月発売されたiPhone 17およびiPhone Airで、AppleはMemory Integrity Enforcement(メモリ整合性保護)を導入しました。これは5年がかりで開発された対エクスプロイト技術で、これまでにCPUやソフトウェアにさまざまな要素が追加されてきました。
Memory Integrity Enforcementは、特にバッファオーバーフローやUse-after-freeバグといったメモリ破損脆弱性の悪用を著しく困難にすることを目的としています。2019年に公開されたCPUのArm Memory Tagging Extension(MTE)仕様および2022年のEnhanced Memory Tagging Extension(EMTE)を活用しています。
これらのチップレベルの仕組みは、メモリのタグ付けとタグチェックシステムを実装しており、プロセスによって割り当てられたメモリには秘密のタグが付与され、そのメモリへのアクセス要求には正しいタグが必要となります。簡単に言えば、メモリ破損の悪用とは、システムによって既に割り当てられているメモリバッファに悪意のあるバイトコードを書き込む能力を得ることです。これにより、通常は脆弱なアプリケーションプロセスが、その権限で悪意のコードを実行してしまいます。もし標的プロセスがカーネルコンポーネントであれば、システムレベルの任意コード実行権限を得ることになります。
MTEの導入により、攻撃者はタグ付きメモリバッファ内に書き込むために秘密のタグも見つけなければならず、OSによってプロセスが終了させられるリスクがあります。しかし、この技術にも依然として課題や弱点があり、競合状態のウィンドウや非同期書き込みの問題、タイミング差によるタグ漏洩のサイドチャネル攻撃、さらにSpectre v1のようなCPU投機的実行攻撃によるデータやMTEタグの漏洩の可能性もあります。
「最終的に、真に最高レベルのメモリ安全性を実現するため、Apple全体にわたる大規模なエンジニアリング努力を行うことを決定しました。これにはAppleシリコン、オペレーティングシステム、ソフトウェアフレームワークの更新も含まれます」とAppleセキュリティチームは述べています。「この取り組みと、当社の非常に成功したセキュアメモリアロケータの開発により、MTEを単なるデバッグツールから画期的な新しいセキュリティ機能へと変革しました。」
難易度の上昇=報奨金の増額
この取り組みの集大成が、Appleが現在「Memory Integrity Enforcement(MIE)」と呼ぶものであり、iPhone 17およびiPhone Airに搭載された新しいA19およびA19 Proチップの機能です。MIEはiOSでカーネル全体と70以上のユーザーランドプロセスを保護し、これらの標的に対するメモリ破損エクスプロイトの実行を大幅に困難にします。
このため、Appleはバグ報奨金プログラムの報奨金を増額することを決定しました。研究者は、最新のAppleデバイスでエクスプロイトチェーンを成立させるため、これまで以上に創造的かつ努力が必要となります。
報奨金が増額されたのは、商用スパイウェア業者が使用するようなトップレベルのリモートコード実行チェーンだけではありません。多くがメモリ破損と他の脆弱性を組み合わせた攻撃クラスにも、来月から報奨金の増額が適用されます:
- アプリケーションサンドボックスの脱出:50万ドル(以前は15万ドル)
- デバイスへの物理アクセスが必要な攻撃:50万ドル(以前は25万ドル)
- 無線・ラジオプロトコルを利用した近接攻撃:100万ドル(以前は25万ドル)
- ユーザー操作が必要なワンクリックリモート攻撃チェーン:100万ドル(以前は25万ドル)
- ゼロクリックリモート攻撃チェーン:200万ドル(以前は100万ドル)
さらに、個別の攻撃チェーンの構成要素や、上記基準を満たす攻撃を実証できない複数の構成要素についても、低額ながら報奨金の対象となります。
また、AppleはOS全体に「ターゲットフラグ」と呼ばれるものを導入しました。研究者がこれを「獲得」すると、修正が開発・リリースされる前でも報奨金の支払いが迅速化されます。これらのターゲットフラグは、レジスタ制御、任意の読み書き、コード実行など、攻撃が一定の能力に到達したことを証明するために設計されており、Appleが提出されたエクスプロイトの影響をプログラム的に検証できるようにします。
追加ボーナスにより、報奨金はさらに高額になる場合もあります。たとえば、開発中やパブリックベータ版でのエクスプロイト報告にはボーナスが付与されます。これにより、Appleはソフトウェアが大量のデバイスに配信される前に問題を修正できます。iOSロックダウンモードの保護を回避するエクスプロイトもボーナスの対象です。
スパイウェア対策として活動家にiPhoneを無償提供
Appleは、iPhone 17デバイスがスパイウェア業者による攻撃に対して格段に強固になったと考えているため、世界中で監視エクスプロイトの標的となるリスクが高いと判断された個人に配布するため、市民社会組織に1,000台のデバイスを無償提供する計画です。
