iOSの脆弱性情報、市場価値が下落傾向〜高額売買目当てで供給過多に

 
ソフトウェアのバグを売り買いする市場では最近、iOSの脆弱性につけられる価格が下落傾向にあります。理由は脆弱性の多さです。

Androidの脆弱性は値上がり

商品の価格は需要と供給のバランスによって成り立っています。供給が需要よりも少なければ価格は上がり、逆に需要よりも多ければ価格は下がります。
 
エクスプロイト（脆弱性を突いた攻撃）に関する情報を売買するWebサイトZerodiumは4日、Androidの脆弱性に最高250万ドル（約2億6,500万円）の値を付けました。「ゼロクリック（ユーザーが全く操作しない状態）」でOSのカーネルにアクセスすることが条件です。Androidは以前に比べてセキュリティレベルが向上し、年々脆弱性の発見が難しくなっているそうです。
 
一方でiOSはと言えば、“最高位”とされるゼロクリックでも最高200万ドル（約2億1,000万円）に留まっています。ワンクリックの価格も、iOSでは従来の150万ドル（約1億5,750万円）から100万ドル（約1億500万円）へと値下がりしています。
 
理由はiOSの脆弱性が増え、希少度が下がってしまったからだと話すのは、Zerodiumの創設者シャウキ・べクラール氏です。「ゼロデイ市場（ゼロデイ攻撃=OS供給側が脆弱性に対処する前に攻撃）はiOSのエクスプロイトで溢れ返っている。その大半がSafariやiMessageのチェーンだ」
 
彼の発言を裏付けるかのように、最近もGoogleのセキュリティ研究チームがiOSの脆弱性についてレポートを立て続けに公開したほか、中国政府当局がiOSの脆弱性をウイグル人監視に用いていたとする観測も出ています。

皆が脆弱性探しに奔走した結果？

ただし、iOSのセキュリティレベルが以前に比べて下がってしまったというわけではありません。
 
べクラール氏は「沢山のセキュリティ研究者がiOSのエクスプロイト探しに躍起になって取り組んでいるからだ」と話します。つまり、売買価格が高価なために皆がこぞってiOSの脆弱性を発見しようとした結果、ゼロデイ市場には情報が溢れかえり、結果として価値が失われてしまったというわけです。余りにも量が多いため、すでにZerodiumは一部のiOSエクスプロイトについて買い取りを拒否しているそうです。
 
なおZerodiumとは別に、Appleも賞金最大100万ドル（約1億500万円）の「バグ懸賞プログラム」を公式に開催しています。
 
 
Source:AppleInsider,MOTHERBOARD
(kihachi)