Apple製品のバグを見つけると報酬がもらえる！？

セキュリティ報酬金が与えられるにはいくつかの条件をクリアしなければなりません。その条件とは、

・Apple製品セキュリティにバグを報告する最初の団体（グループ）である

・実用的な脆弱性を含む、明確なレポートを提出する

・Appleがセキュリティ報告を公表する前に、バグを公に開示しない（Appleからの報告はバグ修正の為のアップデート関連と共に発表される）

またAppleがまだ見つけておらず、かつ特定の開発者ベータ版とパブリックベータ版におけるバグの報告については50％のボーナスが与えられることがあります。これについてもいくつか条件はあり、開発者ベータ版、パブリックベータ版リリースで発生するセキュリティの問題全てがこのボーナスの対象となるわけではありません。

最大報酬金額は以下のように決められています。

【iCloud】

iCloudアカウントデータへの不正アクセス：100,000ドル

【物理アクセスによるデバイス攻撃】

-ロック画面の迂回：100,000ドル

-ユーザデータの抽出：250,000ドル

【ユーザーがインストールしたアプリを介したデバイス攻撃】

-機密データ（連絡先、メール、メッセージ、メモ、写真、リアルタイムまたは過去の正確な位置データ等）への不正アクセス：100,000ドル

-カーネルコードの実行：150,000ドル

-CPUサイドチャネル攻撃：250,000ドル

【ユーザー操作によるネットワーク攻撃】

-機密データへのワンクリック不正アクセス：150,000ドル

-ワンクリックカーネルコード実行：250,000ドル

【ユーザー操作なしのネットワーク攻撃】

-物理的に近接したカーネルへのゼロクリック無線：250,000ドル

-機密データへのゼロクリック不正アクセス：500,000ドル

-永続性とカーネルPACバイパスを使用したゼロクリックカーネルコード実行：1,000,000ドル

最大金額を日本円で見積もると約1億6000万円となります。

本プログラムが開始されるにあたり、さっそく動き出している人々もいると思われますが、これにはユーザーだけでなくApple側にも大きな利点があると言えます。というのも条件にあるように報酬を得るためには問題解決のアップデートが発表されるまで公表してはいけませんから、Appleとしても問題がひとり歩きしてしまったり、悪用されたりすることを未然に防げます。

ユーザーによるバグ報告で報奨金が発生するのは、もちろんAppleに限った話ではありません。例えばGoogleは、Chromeのバグ報奨金プログラムを2010年に始めており、現在報奨金の金額が数倍に引き上げられています。こちらにも諸条件をクリアすればボーナスが与えられるため、最大報奨金はAppleほどではないにせよ相当額となっています。現時点で日本円にして少なくとも16億円以上を報奨金として出しているという報告もあります。

綿密な検証と正確な報告書が必要になる以上、簡単にできる事ではありませんが…バグを報告すれば報酬がもらえる、というのはやはり夢のあることですよね。一昔前のゲーム機を思い出します。どのような報告、そして報酬が授与されることになるのか楽しみですね。