Samsung Electronicsは8月6日(現地時間)、「Security Post|Samsung Mobile Security」において、同社のモバイルデバイス向けに「重要シナリオ脆弱性プログラム(ISVP: Important Scenario Vulnerability Program)」として新しい報奨金プログラムを開始したと発表した。高度な権限を持つ任意のコード実行、デバイスのロック解除、完全なユーザーデータの抽出、任意のアプリケーションのインストール、デバイス保護ソリューションのバイパスに関連する脆弱性を発見した場合、最大で100万ドルを受け取ることができる。

  • Security Post|Samsung Mobile Security

    Security Post|Samsung Mobile Security

従来の報奨金プログラム

Samsung Electronicsは2017年から「Samsung Mobile Security Rewards Program」として同社のモバイルデバイス向け報奨金プログラムを実施している。同社の報告によると、この報奨金プログラムにより2023年は113名の研究者に合計で827,925ドルを支払ったという(参考:「Security Post | Samsung Mobile Security」)。

しかしながら、報奨金には不透明性があり、努力が報われないとしてレポートの提出を躊躇する研究者の存在が指摘されていた。そのため、Samsung ElectronicsはWin-Winの関係を構築する取り組みとして、新たに高額な重要シナリオ脆弱性プログラムを発表した。

重要シナリオ脆弱性プログラム(ISVP)

重要シナリオ脆弱性プログラムに参加するには、重大な脆弱性への攻撃成功を証明する必要がある。要件としては以下が指定されており、すべてを満たした場合に最高額の報奨が得られるという。

  • 優良レポートボーナス(Good Report Bonus)の要件を満たす(参考:「Security Post | Samsung Mobile Security」)
  • 重要なシナリオの1つ以上を標的にした攻撃の成功を証明するビルド可能なエクスプロイトをレポートに含める
  • エクスプロイトは最新のフラグシップモデル(Galaxy SおよびZシリーズ)の最新のセキュリティアップデートにて動作する
  • エクスプロイトは権限なしで動作する

報奨金はその難易度に応じて最高額が定められている。全体の最高額となる100万ドルはKnox Vaultを標的とするリモート任意コード実行(ACE: Arbitrary Code Execution)の脆弱性の発見とされる。具体的にはKnox Vaultに保存されている資格情報関連データベースへの永続的なゼロクリックアクセスを実証する必要がある。

Samsung Electronicsはこれまでレポートの提出を躊躇っていた研究者に対し、努力を無駄にしてほしくないとして、積極的なプログラムへの参加を呼びかけている。