Appleの時価総額は1兆ドル前後で変動しています。同社は2019年第1四半期に2,450億ドルの現金を保有していました。しかし、macOSのバグ発見に対する報奨金制度は提供していません。つまり、キーチェーンアクセスの脆弱性を発見した研究者は、報酬なしで発見情報を共有するかどうかを決めなければなりませんでした。
研究者のLinus Henze氏は2月6日、KeyStealエクスプロイトを公開しました。当時、彼はmacOSのバグ報奨金プログラムがないことに抗議し、このエクスプロイトに関する情報をAppleに提供しないと述べていました。しかし、Henze氏は考えを変えたようで、最近のツイートで次のように説明しています。
「キーチェーンの脆弱性を悪用した脆弱性を@Appleに報告することにしました。反応はなかったものの、これは非常に重大な問題であり、macOSユーザーのセキュリティは私にとって重要なので」と彼は述べた。「パッチを含む詳細情報をすべてAppleに送りました。もちろん無償です。」AppleはKeySteal脆弱性をまだ公式に認めていない。
このツイートへの返信には、AppleがmacOSの脆弱性開示に対する補償を行わない決定を嘆く人や、ヘンゼ氏自身に報酬を支払うことを申し出る人、あるいはヘンゼ氏に情報を他社に売却するよう勧める人など、様々な意見が寄せられています。また、このプロセス全体を通してAppleが沈黙を守っていることにも不満を抱く人も多くいます。
これらの懸念は、FaceTimeのグループ通話の欠陥を悪用することで、誰でも遠隔操作で相手のマイク、場合によってはカメラを有効化できる重大な脆弱性が発覚した直後に発生しました。Appleはすぐにこの機能を無効化し、問題に対するパッチをリリースしましたが、同社の情報開示プロセスには疑問が残りました。
多くのテクノロジー企業がまさにこうした理由から、バグ報奨金制度を導入しています。研究者が善意から発見を共有することを期待したり、開発者アカウントの登録を義務付けたりするのではなく、企業は誰でも報告できる脆弱性の種類ごとに明確な報奨金を設定しています。
macOS向けにこのようなプログラムを提供することで、Appleは新たな脆弱性について迅速かつ慎重に情報収集できるようになる。また、KeyStealの発覚やFaceTimeの脆弱性に対する同社の対応を受けて、懸念が高まっている状況も緩和されるだろう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
