「iPhoneハッキング」の裏取引価格は100万ドル!?

 
米カリフォルニア州で起きた銃撃事件をめぐり、テロリストが使用したiPhoneをロック解除するため、連邦捜査局（FBI）が専門家を雇ったというニュースは、世界中の注目を集めました。
 
その際支払われた金額は、100万ドル（約1億円）以下との報告もあるものの、FBIのジェームズ・コミー長官は、130万ドル（約1億3,000万円）は下らないことを匂わせる発言をしています。

Appleのセキュリティ責任者が語る「闇市場」

この件に関連し、Appleのセキュリティ・エンジニアリングおよびアーキテクチャ部門のトップであるアイバン・カースティッチ氏が、先週行われたAppleの年次総会において、興味深い話をしました。
 
iPhoneのセキュリティ・レベルがどれだけ高いかを客観的に測定するのは難しいため、同氏は「間接的な指標」を用いているそうです。そのひとつが、iPhoneの脆弱性（セキュリティ専門家の間では「ゼロデイズ」と呼ばれている）を突くために、闇市場で支払われている金額であるとのこと。
 
この金額が高ければ高いほど、ハッキングがいかに難しいかを意味します。
 
カースティッチ氏は「すでにご存知でしょうが、ソフトウェアの脆弱性については闇市場が存在し、時折その価格が表面化することがあります。一般にこうした金額は数万ドル、時には10万ドルにのぼります」と述べています。
 
しかしこれらの金額は、WindowsソフトウェアやAndroidアプリの話であり、iPhoneの場合はるかに高額になるようです。
 
同氏は2つの記事を例として挙げました。ひとつは2013年7月にNew York TimesがiPhoneハッキングに50万ドルが支払われたと報じたもの、もうひとつはForbesが2015年6月に報じたiOSハッキング費は100万ドルだったというものです。

「バグ・バウンティ」を実施しない自信

闇市場でソフトウェアの脆弱性が売り物にされるのを防ぐ方法のひとつが、「バグ・バウンティ」プログラムです。
 
これはプログラムやWebサービスに潜む脆弱性を発見した人に報酬を支払うことで、闇市場に売られるのを回避するのが狙いです。Microsoft、Facebook、Googleなど、多くの企業が同プログラムを提供するなか、Appleは実施していません。
 
これはAppleがセキュリティに絶対的な自信を持っているしるしのひとつと見ていいでしょう。
 
 
Source:Business Insider Singapore
(lunatic)