エクスプロイトブローカーの Zerodium は、iOS 10 のリモート脱獄脆弱性に対するバグ報奨金を 3 倍の 150 万ドルに増額しました。
この組織は以前、iOS 9のリモート脱獄に対して50万ドルの報奨金を提示していたが、昨年11月に匿名のハッカー集団に100万ドルの報奨金が支払われ、一時的に金額が引き上げられた。
この増加は、Apple のモバイル オペレーティング システムにおける複雑なエクスプロイト チェーンを探す研究者を増やすことを目的としている。
ハッカーは脆弱性と、洗練され武器化された概念実証を提出してから 1 週間以内に報酬を獲得します。
Zerodium はまた、Android バージョン 6 Marshmallow と 7 Nougat のリモート ルート化脆弱性に対する報奨金を 20 万ドルに倍増した。
最高経営責任者(CEO)のチャウキ・ベクラー氏は、この値上げは需要と最新のiOSおよびAndroidオペレーティングシステムのセキュリティ強化に一致していると述べた。
この賠償金はアップルやグーグルが研究者に提供している脆弱性報奨金をはるかに上回るが、研究者は自分の研究成果を武器にするためにさらに多くの労力を費やす必要がある。
Zerodium の支払い表。
武器化の取り組みはさておき、同等のリモート脱獄バグに対して、クパチーノは最大25万ドルの報奨金を支払う一方、マウンテンビューは3万8千ドルを支払うことになる。
Zerodiumをはじめとするエクスプロイトブローカー企業は、セキュリティ業界において二極化を招いている。これらの企業が多額の金銭で購入するバグは、匿名のサブスクリプション顧客に提供され、最新の標的システムではパッチによってエクスプロイトが無効になるため、ベンダーには報告されない。
お知らせ - iOS #0days の永久報奨金が150万ドルに増額されました。Android、Chrome、Flash の新価格も発表されました。https://t.co/fwqoXlbS0j
— Zerodium (@Zerodium) 2016年9月29日
しかし、AppleやZerodiumが巨額の資金をちらつかせているにもかかわらず、一部のハッカーは報酬を一切受け取らず、脱獄ツールを無料で開発・公開している。無償で活動するハッカーの中には、Pangu Teamとして知られる中国のハッカー集団もいる。彼らは記者に対し、研究コミュニティがiOSをより深く調査するための手段を提供するために、金銭ではなく愛のためにエクスプロイトを公開していると語っている。®
