賞金の対象となるのはMacbookやiPhoneなどの同社製品に含まれる脆弱(ぜいじゃく)性に関する情報。プログラムは先月ラスベガスで開かれたセキュリティー会議「ブラックハット」で発表されたもので、今月中に開始される予定だ。
一般的な賞金プログラムとは異なり、参加は完全招待制。28日の説明会は極秘扱いで、参加者は内容の口外自粛を求められた。招待者の中には、iPhone 7の脱獄に初めて成功した19歳のルカ・トデスコや、元天才児でiOSハッカーとして世界的に知られるニコラス・アレグラ、米国家安全保障局(NSA)の元職員でこれまでにもOS Xの脆弱性をたびたび発見してきたパトリック・ウォードルが含まれている。
さらに、iPhoneやマックへのハッキングで知られるフランシスコ・アロンソ、ステファン・エッサー、ブレイデン・トーマス、ペドロ・ビラサ、ジョナサン・ジアルスキに加え、元アップル技術者のアレックス・イオネスクや、iOS脱獄コミュニティーでは「iH8sn0w」の名で知られるスティーブン・デ・フランコ、脱獄ツール「Pangu」の開発メンバーである徐昊(シュー・ハオ)も招待された。
匿名で取材に応じた関係者によると、初回のプログラム参加者は、これまでに脆弱性を報告した実績のある研究者らから選ばれた。アップルはプログラムから得られる情報の量より質を優先し、参加者の人数を制限。説明会の詳細を極秘にするため、参加者には事前説明すらなかったという。
この件についてのアップルからのコメントは今のところ得られていない。
以前から脆弱性発見を目的とした賞金プログラムを実施していないことを批判されてきたアップルは、ついに発表した今回のプログラムで、フェイスブックやグーグル、マイクロソフトなどの大手IT企業が提示してきた金額を大幅に上回る20万ドルという破格の賞金を用意した。だが一部からは、iOSの脆弱性は犯罪容疑者の端末ロック解除サービスを提供するゼロディウムやエンドゲームといった企業に売却すれば100万ドル以上の値が付くと指摘する声も上がっている。
アップルは現在も、セキュリティー上の課題を数多く抱えている。先月には、イスラエル企業のNSOグループが、アラブ首長国連邦(UAE)の活動家アフメド・マンスールが所有するiPhoneをマルウエアに感染させようと試みた。使われた手法は、それまで存在が知られていなかった3種類の脆弱性を利用し、テキストメッセージに記載されたリンクを開かせるだけで攻撃実行を可能にするというものだったが、マンスールはリンクを開かず難を免れた。
先週には、アップルがiTunesでiOS 10データのバックアップに信頼性の低いパスワード保護メカニズムを用いていることが発覚。さらに今週には、米民主党全国委員会に対するサイバー攻撃を行ったのと同じハッカーチームが、マック製品を標的としたマルウエアを開発したことが明らかになっている。
