Appleがカペルスキーへのバグ報奨金支払いを拒否

Appleがカペルスキーへのバグ報奨金支払いを拒否

Appleは、カペルスキーがiPhoneのソフトウェアに関する4つのゼロデイ脆弱性を指摘・開示したにもかかわらず、同社へのバグ報奨金の支払いを拒否しました。これらの脆弱性は、カペルスキーの従業員やロシアの外交官をスパイするために使用されたとされています。

バグ報奨金制度とは

バグ報奨金制度は、セキュリティに関する未知のバグを発見した団体や個人へメーカー側が報奨金を支払う制度で日本でもサイボウズ社がこの制度を提供しています。

バグ報奨金支払いを拒否したApple

カスペルスキー研究所の広報担当者は、Recorded Future Newsに対し、同社の研究チームは自分たちの研究が「Appleのバグ報奨金の対象になると考えていた。しかし、報奨金について問い合わせたところ、Appleのセキュリティチームから専用ポリシーを理由に断られた」と語った。

AppleはRecorded Future Newsからの問い合わせに対してコメントしていません。

カペルスキーが発見したバグの内容

2023年、カペルスキーはiOSデバイスを標的としたAPT攻撃活動「Operation Triangulation」のカギがiPhoneのハードウェア機能にあることを発見しており、

脆弱性の利用方法の高度さと攻撃者の限られた標的(財務情報ではなく情報収集を目的とした)が理由で、この攻撃は国家の支援を受けたものと疑われました。

カペルスキーがこのレポートの公表の開示と同じ日に、ロシア連邦保安庁(FSB)は、アメリカとAppleが協力してロシアの外交官をスパイすることを可能にしたと非難しました。

FSBは外交官に影響を与えたとされる作戦についてほとんど詳細を明らかにしなかったが、ロシアのコンピューターセキュリティ機関は、両作戦の侵害の兆候は同じであると主張しています。

協力を示す可能性のある主な兆候として、CVE-2023-38606という脆弱性でした。

脆弱性:CVE-2023-38606について

カペルスキーによると、これは実際にiOSファームウェアで使用されていない特に異常なハードウェア機能に影響を与えたとのことです。このため、研究者たちはこれがデバッグやテスト目的で意図されたものか、iPhoneのOSに誤って含まれた可能性があると示唆しました。

「攻撃者がこの未知のハードウェア機能をどのようにして使用することを学んだのか、その元々の目的が何であったのかは分かりません。また、これがAppleによって開発されたのか、サードパーティのコンポーネントなのかも分かりません」とカペルスキーは述べました。

当時、Appleの広報担当者は、顧客をスパイするために国家と協力したことを否定し、「Apple製品にバックドアを挿入するために政府と協力したことは一度もなく、今後もありません」と述べました。

Appleがカペルスキーにバグ報奨金を支払うことを拒否したという申し立ては、ウクライナ侵攻後の米露間の対立が激化する中で浮上しました。

Appleはその年の3月に、「ロシアのウクライナ侵攻について深く懸念しており、暴力の結果として苦しむすべての人々とともに立ちます」と声明を発表しました。

アメリカの多国籍企業であるAppleは、侵攻の結果として、ロシアでの製品販売を全て中止し、国営メディアのアプリをApp Storeから削除し、既存の顧客に対するApple Payのサービス提供も制限すると発表しました。

米国政府機関で使用禁止されたカペルスキー

ウクライナ紛争に関連してカペルスキーは米国で具体的に制裁されていませんが、国土安全保障省は以前、コンピュータ上でのアンチウイルスソフトの管理レベルとそのリスクのために、カペルスキー製品の使用を政府内では禁止しました。

また、カペルスキーはFSBがアンチウイルスソフトを利用してコンピュータ上の情報収集を行うことを許可したと非難されていますが、この証拠は公には示されておらず、カペルスキーはこれを否定し、機密資料を検出した場合は直ちに削除するよう指示していると述べています。

ロシア語メディアRTVIに対し、カペルスキーの研究責任者Dmitry Galov氏は、通常サイバーセキュリティ企業はAppleのバグ報奨金プログラムの資金を自ら収益として受け取るのではなく、慈善団体に寄付するよう指名すると述べました。

また、カペルスキーは攻撃者が国家支援を受けたものであると確信していたが、どの国が背後にいたのか特定するための技術データは持っていないと述べました。

カペルスキーの広報担当者は、初めにAppleに連絡した際に慈善団体を指名したかどうか、またAppleが報奨金の支払いを拒否したことが将来的に発見された脆弱性の開示決定に影響を与えるかどうかについては回答しませんでした。

引用:Apple refused to pay bug bounty to Russian cybersecurity firm Kaspersky Lab

TOPへ