先週、アップルは遅ればせながらバグ報奨金市場に参入し、iOSの重大な欠陥に対して最高20万ドルの賞金を出すと発表したが、クック氏とその仲間たちは完全に負けてしまった。
火曜日、エクスプロイト取引会社Exodus Intelligenceは、iOS 9.3以降の重大な脆弱性と、それを悪用するためのエクスプロイトに対し、50万ドルを支払う用意があると発表しました。研究者は、エクスプロイトが発見されるまで、一括払いか、少額の金額と四半期ごとの支払いを受け入れることができます。同社の創設者はThe Regに対し、エクスプロイトが発見されれば、さらに高額になる可能性があると述べています。
「当社の顧客の大部分は、防御ベンダー、侵入テスト業者、レッドチーム/ブルーチームです」とエクソダスの社長、ローガン・ブラウン氏は語った。
Appleの脆弱性攻撃は、その希少性を反映して、最も高額の報奨金を獲得しています。MicrosoftとGoogleのバグ報奨金プログラムも、Exodusの価格に匹敵するために報奨金を引き上げる必要があります。
Google Chrome のゼロデイ攻撃で得られる賞金は最大 15 万ドルで、これはチョコレート工場の最高賞金より 50 パーセント多い額である。
一方、レドモンドのEdgeブラウザに重大な脆弱性を発見した場合、Exodusは12万5000ドルの賞金を獲得します。これは、現在Microsoftが提供している500ドルと1500ドルの賞金をはるかに上回ります。また、Windows 10のローカル権限を無効化し、その方法を証明できれば、7万5000ドルの賞金が獲得できます。
Exodus は、これらの報奨金を小切手、電信送金、Western Union、またはビットコインで喜んで支払うと述べている。
しかし、これはまさに大手ソフトウェア企業がバグ報奨金制度を始めた当初、彼らが望んでいなかった入札合戦です。当初は脆弱性の価格は低く設定されていましたが、市場価格に合わせて上昇しています。今では、セキュリティ研究者は自分の技術で十分な収入を得られるようになっています。
セキュリティ専門家は、深刻な欠陥の蓄積が、すべての人々のセキュリティ全体に悪影響を及ぼすことを懸念しています。エクソダスは2月に脆弱性開示プロセスを開始することで、この点について人々の安心感を得ようとしましたが、実際には「顧客にとって最大の価値」を引き出した後にのみ開示しています。®
