セキュリティ研究者は、ソフトウェア開発において脆弱性の特定と発見という極めて重要な役割を担っています。その重要性から、Apple Security Researchは、研究者の発見に対して報奨金を提供するセキュリティ報奨金プログラムを実施しています。脆弱性の深刻度によっては、バグ発見で最大200万ドルもの報酬を得ることも可能ですが、ある研究者が示すように、Appleの深刻度の認識は必ずしも理にかなっていません。
XでRenwaX23という名の研究者が、重大なセキュリティホールと思われる脆弱性に対する報奨金について投稿しました。Safariで発見されたこの脆弱性は、ユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性で、攻撃者がユーザーになりすましてデータにアクセスできるようになるものです。RenwaX23は、この脆弱性を利用してiCloudとiOSカメラアプリにアクセスできることを実証しました。この脆弱性は「重大」と評価され、スコアは9.8(10点満点中)と評価されたため、決して軽微なバグではありませんでした。
CVE-2025-30466として記録されたこの脆弱性は、Appleが3月にiOS/iPadOS 18.4およびmacOS 15.4アップデートとともにリリースしたSafari 18.4で修正されました。RenwaX23氏はこのバグ発見に対してわずか1,000ドルの報酬を受け取りました。
なぜ報奨金が低いのでしょうか? RenwaX23の投稿に反応した人の中には、Appleがユーザーが脆弱性に遭遇する容易さを考慮していないためだと考える人もいます。今回のケースでは、gergely_kalman氏が言うように、エクスプロイトを発動させるには「ユーザーによる操作が多すぎる」のです。Appleのウェブサイトでは、必要なユーザー操作は報奨金を決定する基準の一つであり、影響を受けるユーザー数、アクセスレベル、レポートの質(Appleの作業量に影響します)、その他の要素も考慮されると述べられています。
Appleのウェブサイトでは、脆弱性の種類、補償額、事例も公開されていますが、同じスレッドの別の投稿者であるTaiko_soup氏が指摘するように、Appleの決定は恣意的であるように思われます。Taiko_soup氏は、5万ドルの補償金が支払われると思われた脆弱性を発見しましたが、実際には5,000ドルの補償金を提示されました。
セキュリティ研究者は、ユーザーがより安全なソフトウェアを利用できるよう、脆弱性を発見し報告するために長時間を費やしています。Appleは、研究者の働きに見合った報酬を支払うという視点が欠けているように思われます。Appleのような大企業が報酬を低く設定するのは、良い印象を与えません。
AppleがOSアップデート(最近のmacOS Sequoia 15.6アップデートなど)をリリースする際、複数のセキュリティ修正が含まれています。詳細はAppleのセキュリティリリースウェブサイトに掲載されています。このサイトでは、Appleが修正した問題をリストアップしており、それぞれのエントリを見ると、CVE番号(Common Vulnerabilities and Exposuresデータベースに保存されている記録)と個人またはグループ名が記載されています。この名前は、脆弱性を発見した研究者の名前です。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
