加熱する脆弱性ビジネス! iOSのバグ発見で、セキュリティ会社の報奨金は本家の2倍

加熱する脆弱性ビジネス! iOSのバグ発見で、セキュリティ会社の報奨金は本家の2倍 1

複雑なきもち…。

さまざまなソフトウェアの脆弱性を発見と報告をすることは、セキュリティにおいて非常に重要です。そこでソフトを提供する会社は、バグ報告者に報奨金をだして協力を促しています。先日、Appleもついに報奨金プログラムを開始すると話題になりましたが、なんと、Appleの倍以上の報奨金を出す企業がでてきました。

CNETによると、セキュリティ研究を行なうExodus Intelligenceは、iOSやGoogle Chromeなど、さまざまなソフトの脆弱性の発見に報奨金を出して情報を集めて(ある意味、買いとって)いますが、iOS 9.3以降でのバグを発見したセキュリティ研究者に、最高で50万ドルの報奨金を出すと発表したのです。Appleの報償金額が最大で20万ドルなので、2.5倍にあたります。

なぜExodus Intelligenceがこんな大金を出すかというと、脆弱性ビジネスを行なっているからです。いち早くバグを知ることで、顧客をゼロデイアタックから守ることができます。また、脆弱性から生まれる顧客の要望に応えることもできます。世界的なニュースとなったサンバーナーディーノ銃撃事件の容疑者の所持していたiPhoneを巡るApple VS. FBIの構図はまさにこれですね。つまり、脆弱性はお金になるんです。でも、脆弱性ビジネス会社の方が、ソフトを出している本家よりも高額な報奨金を出すというのは、皮肉な話です。

もし、自分がセキュリティ研究者だったら、同じバグ報告ならお金の高いところを選びたくなります。もちろん、研究者にはそれぞれ思想があると思いますので、お金ばかりが判断材料にはならないでしょうけど。

image by Maksim Kabakou / shutterstock.com

source: CNET

(そうこ)