Appleの脆弱性を発見した研究者チーム、5万ドルの懸賞金を受け取る

    Apple Security Research Device Program

    Apple Security Research Device Program
     
    Appleが公式に設けている「バグ懸賞プログラム」にエントリーしたセキュリティ研究チームが、3カ月かけて同社の提供するサービスの脆弱性を発見し、5万ドル(約530万円)以上を手にしました。

    脆弱性攻略チームを召集

    Appleは2016年より「バグ懸賞プログラム」を用意し、悪意ある攻撃者に見つかる前にセキュリティの欠陥を塞ぐ試みを行っています。2019年には懸賞金を最大100万ドル(約1億600万円)とし、プログラムにエントリーできる対象者を研究者全員へと拡大しました。また7月には、iPhoneやMacなどのApple製品に関連する脆弱性のみならず、ウェブインフラ(web infrastructure)にも対象を拡げていました。
     
    これに目をつけたのが、研究者のサム・カリー氏です。同氏は複数の研究者から成るチームを組み、脆弱性を見つけるべくAppleのシステム攻略へと乗り出しました。その結果、3カ月間でセキュリティに関連した脆弱性を55種類も発見したのですから脱帽です。少なくともこのうち11種類は深刻、29種類は重大な欠陥であったことが分かっています。
     
    具体的な脆弱性の内容はAppleからの要請で明らかにされていませんが、カリー氏は自身のWebサイトでこれらの欠陥が、消費者のみならず従業員向けのアプリにも影響を与えるものだったと指摘しています。
     
    同氏によると、悪意ある攻撃者はクロスサイトスクリプティングと呼ばれる方法で「自動的にiCloudアカウントを乗っ取り、Appleのプロジェクトに関連するソースコードを盗み取り、内部向けの産業統制ソフトウェアの脆弱性を突くことが可能になる」ばかりか、「従業員のセッションを乗っ取り、マネージメントツールや個人情報へのアクセスを可能にしてしまう」こともできたそうです。

    素早いAppleの対応

    幸いなことにAppleの対応は迅速で、深刻な脆弱性については、カリー氏の報告から修復に至るまで平均して4時間ほどしか掛からなかったそうです。またその他の欠陥も、早くて4時間〜6時間、大体は1営業日〜2営業日ほどで修復されたそうです。
     
    そしてAppleから10月4日、このうちの脆弱性の幾つかを対象にして51,500ドル(約545万円)が支払われました。その他の脆弱性についても、Appleが正式に認め次第、懸賞金が支払われる見込みです。しかし、カリー氏の話を聞く限りではかなり重大な脆弱性に思えますが、その対価が3カ月で5万ドルというのは割りに合っていない気もします。裏を返せば、Appleのセキュリティシステムが強固なことの裏返しなのかも知れません。同社は最近もGoogleからエリートハッカーを引き抜いています。
     
     
    Source:Sam Curry,AppleInsider
    Photo:Apple
    (kihachi)

    この記事がお役に立ったらシェアお願いします
    目次