脆弱性を探すバグハンターは、なぜAppleにうんざりするのか：Appleとバグハンターの“対立”【後編】

中編「セキュリティ研究者が『iOS』脆弱性“怒りの公表”に踏み切った理由」は、脆弱（ぜいじゃく）性に対するAppleの姿勢に不満を持ったセキュリティ研究者のデニス・トカレフ氏（「illusionofchaos」で知られる）が、「iOS」のゼロデイ（パッチ未配布）脆弱性を公表したいきさつを説明した。

バグハンター（脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者）とAppleとの“対立”は、今回が初めてではない。トカレフ氏が自らのブログのエントリ（投稿）で指摘した通り、バグハンターは「Apple Security Bounty」（Appleセキュリティバウンティ）に提出した報告を受けてのAppleの脆弱性修正の遅れや、修正した脆弱性に関する情報公開などの措置に不満を持つことがあった。Appleセキュリティバウンティは、Appleのバグ報奨金・脆弱性報告プログラムのことだ。

Apple製品の著名なセキュリティ研究者であり、Apple製品用セキュリティツールベンダーObjective-Seeの創業者パトリック・ウォードル氏は「こうした問題は以前から存在している」と指摘する。セキュリティ研究者はAppleセキュリティバウンティにうんざりして見切りを付け、報奨金には目もくれずにオンラインでバグを無償公開している。「このことは多くを物語っている」とウォードル氏は述べる。

ウォードル氏は、過去に何度も「なぜ私が報告したバグや私の調査について、Appleが公開した情報には記載がなかったのか」とAppleに問い合わせたことがある。それに対してAppleは常に、セキュリティ情報の公開や、共通脆弱性識別子（CVE：Common Vulnerabilities and Exposures）の割り当てといった対処を実行したという。「だが私にとってそのプロセスは煩わしく、いらいらするものだった」と同氏は話す。「Appleと外部のセキュリティ研究コミュニティーのやりとりを見ると、Appleのセキュリティへのコミットメントに疑問を抱かざるを得なかった」（同氏）

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。