アップル、ついにバグ報奨金プログラムを開始へ--最高20万ドル

　Appleは、自社製品のセキュリティ脆弱性を内密に報告したハッカーや研究者に報奨金を支払うプログラムをまもなく開始する。

　Appleはこの新しいバグ報奨金プログラムの一環として、特定のApple製品の深刻なセキュリティ脆弱性に最大20万ドルを支払う（最大20万ドルの報奨金の対象となるのは、セキュア・ブート・ファームウェア・コンポーネントの脆弱性など）。これはGoogleが提供する最も高額な報奨金の2倍の金額だ。バグ発見者に対するAppleの現行の表彰制度を考えると、大きな進歩である。Appleは現在、同社にセキュリティ脆弱性を報告したハッカーに対して、事実上、その功績を認めるだけだ。

　Appleのセキュリティ責任者であるIvan Krstic氏は、セキュリティプロフェッショナルの年次グローバルカンファレンス「Black Hat」での講演中にこの報奨金プログラムを発表した。

「iPhone 7」でデザインが変わらなくても購入するユーザーはわずか9.3％

　研究者の働きに報いるプログラムの下地を作ったのは、2016年に入ってからのAppleと米政府の争いだ。

　米連邦捜査局（FBI）は、サンバーナーディーノ銃乱射事件の容疑者の1人が所有していた「iPhone」の暗号化技術を迂回する必要に迫られており、AppleにそのiPhoneのソフトウェアの改変を要求したが、同社はそれを拒否した。ソフトウェアの改変は不可能ではないが、道徳的に許されないというのがその理由だった。FBIはその後、プロのハッカーたちを雇って、そのiPhoneのセキュリティを突破した。FBIはハッカーらに報酬として100万ドル以上を支払ったとされている。

　研究者の功績を認めるだけの表彰制度は、多くの人から、企業の傲慢さの典型とみなされていた。

　The New York Timesが3月に伝えたように、その当時、ハッカーやセキュリティ研究者がAppleに味方せずに、報酬を払ってくれる側に脆弱性発見の技術を提供したのは、バグ報奨金プログラムの欠如が原因だった可能性が高い。

　脆弱性やエクスプロイトを報告する大多数の人は、テクノロジのセキュリティを強化するという、より大きな善のためにそれを行っている。しかし、政府が5倍以上の報奨金を支払うのなら、それは魅力的なオファーであり、多くの「グレーハット」（グレーゾーンにいる）ハッカーはそれを受け入れてしまうかもしれない。

　Appleのバグ報奨金プログラムは十分に魅力的だ。このプログラムがなければ発見したバグをもっと邪悪な目的のために売りたい誘惑に駆られるかもしれないハッカーを、引き込むことができるだろう。

　しかし、万が一「第2の」サンバーナディーノが発生して（そうならないことを祈る）、政府が報奨金を増額したら、企業のバグ報奨金の魅力が薄れてしまうおそれもある。