Appleがプライベートクラウドサーバーのバグバウンティで最大100 万ドルの報奨金を発表

Appleがプライベートクラウドサーバーのバグバウンティで最大100 万ドルの報奨金を発表

Appleは、iPhone、iPad、Macデバイス向けの「Apple Intelligence」を発表し、サイバーセキュリティの専門家が自社のプライベートクラウドコンピューティングサーバーの欠陥を発見した場合に100万ドルのバグ報奨金を提供し、iOSとmacOSのプライバシーとAIセキュリティを強化する事を発表しました。

バグバウンティ 対象で重要視している脆弱性

Appleのセキュリティガイドで説明されている最も重要な脅威に基づいて、以下のような脆弱性を対象としています:

  1. 意図しないデータ開示
    • 構成ミスやシステム設計上の欠陥によって、想定外にデータが公開される脆弱性。
  2. ユーザーリクエストからの外部攻撃
    • 外部の攻撃者が、ユーザーのリクエストを悪用してPCCへの不正アクセスを可能にする脆弱性。
  3. 物理的または内部アクセスによる攻撃
    • 内部インターフェースへのアクセスが、システムの侵害につながる脆弱性。

プライベートクラウドコンピューティングサーバーは、Apple製デバイスが提供する業界最高レベルのセキュリティとプライバシーをクラウドに拡張するものです。そのため、iOS向けバグ報奨金プログラムと同等の報奨金を提供しています。

特に、プライベートクラウドコンピューティングサーバーの信頼境界(trust boundary)を越えてユーザーデータや推論リクエストデータが侵害される脆弱性には、最大の報奨金を付与するとしています。


プライベートクラウドコンピューティングサーバーのバグバウンティ報奨金一覧

カテゴリー 説明 最大報奨金額
リクエストデータへのリモート攻撃 任意の特権での任意コード実行 1,000,000ドル
信頼境界外でのユーザーデータまたはユーザーのリクエストに関する機密情報へのアクセス 不正アクセスによりデータ侵害を達成 250,000ドル
特権的なネットワーク位置からのリクエストデータへの攻撃 信頼境界外でのユーザー情報へのアクセス 150,000ドル
未検証のコードの実行 未認証コードの実行能力 100,000ドル
構成やデプロイメントの問題による意図しないデータ開示 想定外のデータ公開 50,000ドル

報告と審査基準について

Appleでは、ユーザープライバシーやセキュリティの侵害を非常に重視しています。そのため、既存のカテゴリーに当てはまらない脆弱性であっても、PCCに重大な影響を及ぼすものであれば報奨金の対象として検討します。
Appleは、提出されたレポートについて、以下の要素に基づいて評価を行います:

  • 報告内容の品質
  • 実際に悪用可能である証拠
  • ユーザーへの影響の大きさ

参照

Security research on Private Cloud Compute

TOPへ