脆弱性の販売業者が「iOS」のバグ発見に最大50万ドル--アップルの倍以上

　Appleは先日、セキュリティ研究者らを対象に最大20万ドルを支払う報奨金プログラムを開始したが、同プログラムでは、Apple製品に存在する深刻で重大なセキュリティ脆弱性やエクスプロイトを外部ではなく、同社に内密に報告することが前提となっている。これに対して、Exodus Intelligenceが米国時間8月9日、Apple製品に存在する有効なバグを報告した研究者らに対し、Appleの提示額を上回る最大50万ドルの報奨金を支払うというさらに魅力的なプログラムを開始した。

　Exodus Intelligenceは、「iOS」「Google Chrome」「Microsoft Edge」「Adobe Flash」などのソフトウェアに対する最も深刻で重要なエクスプロイトに関する「標的リスト」を公開した。「iOS 9.3」以降のバージョンに存在する最も危険性の高いバグには50万ドルが支払われる。研究者は、報奨金を一括で受け取るか、該当するエクスプロイトが有効である限り、それより少額を継続的に受け取るかを選択できる。

Exodus Intelligenceが公開した「標的リスト」
提供：Exodus Intelligence

　Exodus Intelligenceのプレジデントを務めるLogan Brown氏は公式サイトのブログ記事で、「この追加的な研究ソースは、当社の世界水準のチームによる調査や検証と合わせて、今後も引き続き、当社の顧客が最もクリティカルな脆弱性について早期に通知を受けることで、最善の防御策を講じられるようにする」と述べた。

　ITベンダーがますます暗号化をデフォルトにする中、法執行当局はこうしたデバイスを利用して犯罪の証拠を探すことが難しくなっている。例えば米連邦捜査局（FBI）は、サンバーナーディーノ銃撃事件のSyed Farook容疑者が所有していた「iPhone」のロックを解除する方法を提供したセキュリティ研究者らに、100万ドル以上を支払ったと報じられている。

　　大金を払う顧客がいるのだから、サードパーティーのエクスプロイト販売業者も懐を肥やすことになるだろう。そして、金になりそうなバグの発見と報告に対してエクスプロイト販売業者が正式なベンダーよりも高い報酬を提示するのは、今回が初めてではない。また、今後もこのようなことは起こる可能性が高い。

　2015年11月、エクスプロイト販売業者のZerodiumはAppleのモバイルOS「iOS 9」に対するリモートエクスプロイトを実演し、100万ドルの報酬を獲得した。