fossBytesに8月5日(米国時間)に掲載された記事「Apple To Launch $200,000 Bug Bounty Program For iDevices And iCloud In September」が、Appleが2016年9月を目処にバグ懸賞金プログラムを開始すると伝えた。金額は発見された脆弱性の重大さや影響力の大きさ、どの程度簡単に利用できるかなど、種々の条件に変わるという。対象は複数のカテゴリーに分類されており、報奨金の最高額は20万ドルとなる。
報奨金の対象となるカテゴリーと最高金額は次のとおり。
- セキュアブートファームウェアコンポーネントにおけるバグ(最高20万ドル)
- Secure Enclave環境から機密情報などを取得するのにつながるバグ(最高10万ドル)
- カーネル権限で任意のコードや害のあるコードを実行できるバグ(最高5万ドル)
- Appleサーバ上のiCloudにアクセスできるバグ(最高5万ドル)
- サンドボックス内のプロセスからサンドボックス外のユーザーデータにアクセスできるバグ(最高2万5000ドル)
Appleはこれまで自社製品における脆弱性の発見や修正に関して、社外のセキュリティ研究者やエンジニアと積極的に連携するといった姿勢は見せていなかった。今回開始されるバグ懸賞金プログラムはこうしたAppleの姿勢が変わったことを示すものとして興味深い。