フォーブス誌が本日報じたところによると、Appleは今週後半にネバダ州ラスベガスで開催されるセキュリティカンファレンス「Black Hat」でmacOS報奨金プログラムを発表する予定だという。
このMac報奨金プログラムは、Macハードウェアを動かす同社のデスクトップOSに重大なセキュリティ問題を発見した研究者に報奨金を提供するというものだ。同誌が引用した匿名の情報筋によると、同社の既存のiOSハードウェアを対象とした報奨金プログラムと同様の賞金が用意されるかどうかは現時点では不明だという。
アップルはコメントを控えた。
この新しい報奨金制度は、まさに時宜を得たものでした。2月、ティーンエイジャーのLinus Henze氏がmacOSの重大なバグを発見し、システムキーチェーン内のパスワードを盗み見ることが可能になりました。問題は、報酬が支払われなかったため、彼がAppleに詳細情報を提供できなかったことです。Mac専用の報奨金プログラムがあれば、Henze氏のような人々が、深刻な欠陥が悪用される前にMacメーカーに報告するようになるはずです。
さらに、ここ1年ほど、macOSはマルウェアや悪意のある攻撃者の標的となることが多くなっており、Appleがユーザーのプライバシーとセキュリティ保護に重点を置いていることを考えると、その傾向はさらに強まっています。Jamfの主任セキュリティ研究者であるパトリック・ウォードル氏は、「macOS専用の報奨金プログラムがあれば、Macのセキュリティは大幅に向上し、Appleとエンドユーザー双方にとってメリットとなるでしょう」と述べています。
パトリックはこのことを熟知しており、これまでに macOS で数多くの問題を発見してきました。
今年もBlack Hatのステージに戻り、世界トップクラスのAppleセキュリティ機能についてお話しできることを大変嬉しく思っています!iOSのコード整合性とポインタ認証コード、T2セキュリティチップによるMacのセキュアブート、「探す」機能を支える暗号化技術など、その他にも様々な話題についてお話します。https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
— イワン・クルスティッチ (@radian) 2019年6月26日
Appleのセキュリティおよびエンジニアリング責任者であるイヴァン・クルスティッチ氏は、木曜日にBlack Hatで「iOSとMacのセキュリティの舞台裏」と題した講演を行い、iPhoneとApple Macのセキュリティについて「前例のない技術的詳細」を語ると約束した。
現在のiOS報奨金プログラムは3年前に導入され、iPhoneとiPadを支えるモバイルOSに重大な脆弱性が発見された場合、最大20万ドルの報奨金が約束されていました。報奨金が低すぎるという声もありますが、同社はこのプログラムを立ち上げるために著名なハッカーと会合を重ねてきました。
同社は今年初め、盗聴グループの FaceTime バグを偶然発見した 14 歳のグラント・トンプソン君が、この重大な脆弱性を Apple に報告したことに対して報奨金を支払うと発表した。
フォーブスの記事では、同社がiOS報奨金プログラムの参加者に、特別なジェイルブレイク前のiPhoneの変種を提供し、セキュリティ研究者がハードウェアとソフトウェアの脆弱性を見つけやすくするとも述べられている。
