アップル、脆弱性発見への最高報奨金を200万ドルに引き上げ

アップルは、自社サービスの脆弱性を発見した一般ユーザーや「ホワイトハットハッカー」に報奨金を支払うプログラム「セキュリティバウンティ」の内容を変更すると発表しました。新たな規定は2025年11月から適用されます。

同社は最高報奨金を100万ドルから200万ドルに倍増させました。この最高額は、市販のスパイウェアを用いた高度な攻撃と同様の効果を持ち、かつユーザーの操作を必要とない一連の攻撃手法（エクスプロイトチェイン）を発見した場合に授与されます。また、複数の深刻な脆弱性を発見した場合には、総額で500万ドルを超える報奨金が支払われる可能性があります。具体例としては、ロック画面を解除する方法や、他人のiPhoneへアクセスする手法などの詳細を明らかにすることが挙げられます。

一部の脆弱性の発見に対する報奨金は数倍に引き上げられました。例えば、端末への物理的アクセスが必要な攻撃の実証成功に対しては、従来の25万ドルから最大100万ドルが受け取れるようになります。アップルのセキュリティ工学・アーキテクチャ担当バイスプレジデント、イワン・クルスティッチ氏はWired誌のインタビューで、このプログラムが開始され、過去数年で拡大されて以来、同社が800人以上のセキュリティ研究者に対し、総額約3500万ドルの報奨金を支払ってきたことを明らかにしました。高額な支払い事例は少数ながら、少なくとも数回、ホワイトハットハッカーへ50万ドルを支払ったことがあると同氏は語っています。