Apple、セキュリティ報奨金を最高200万ドル（約3億円）に倍増

Appleはセキュリティ報奨金制度「Apple Security Bounty」を更新し、最高額を200万ドル（約3億円）に倍増する。ボーナスを含めると最大500万ドル超の可能性も。国家が関与する「傭兵スパイウェア」など、高度化する脅威に対抗するため、トップレベルの研究を奨励するのが狙いだ。

[ITmedia]

　米Appleは10月10日（現地時間）、セキュリティ報奨金制度「Apple Security Bounty」を更新し、最高報奨金を200万ドル（約3億500万円）に倍増すると発表した。11月に発効する。

　2020年の一般公開以来、Appleはこのプログラムを通じて800人以上のセキュリティ研究者に3500万ドル以上を授与しており、今回の改定では業界最高の報奨金を提供するとしている。

　最高報奨金は200万ドルだが、ロックダウンモードのバイパスやβ版ソフトウェアでの脆弱性発見に対するボーナス制度を利用すれば、最大の支払い額は500万ドルを超える可能性がある。

　報奨金制度を大幅に更新した理由は、Appleプラットフォームのセキュリティ防御策が進化した結果、研究者にとって動作するエクスプロイトの開発がより困難で時間のかかるものになったためとしている。

　同社製品には、ロックダウンモードや、iPhone 17シリーズに搭載されたMemory Integrity Enforcementなどのセキュリティ防御策が組み込まれている。だがAppleによると、システムレベルのiOS攻撃は通常、国家主体と関連付けられ、開発に数百万ドルかかる非常に洗練された傭兵スパイウェアによるものであるという。そのため、重要な攻撃対象領域に関する高度な研究を奨励し、実際の脅威に先行して対応するための知見を得るために、報奨金プログラムを適応させているとAppleは説明した。

　最高報奨金である200万ドルは、洗練された傭兵スパイウェア攻撃と同様の目標を達成できるエクスプロイトチェーンが対象だ。報奨金が高額になるのは、例えばユーザー操作なしでリモート攻撃が可能なゼロクリックチェーン（最大200万ドル）、任意の無線機を介したワイヤレス近接エクスプロイト（最大100万ドル）、広範囲にわたる不正なiCloudアクセス（最大100万ドル）などだ。

　また、2026年の特別イニシアチブとして、傭兵スパイウェアの標的となる可能性のある民間社会組織に、Memory Integrity Enforcement搭載のiPhone 17を1000台提供する計画だ。