Appleは、9.8/10の評価を受けた重大なセキュリティ欠陥に対して、わずか1000ドルを支払った。

Appleはセキュリティ研究者に自社のデバイスやアプリの脆弱性を探し出して報告することを奨励しており、その見返りとしてバグ発見者に最大200万ドルの報奨金を支払っている。

しかし、Apple が「緊急」と評価し、深刻度スコアを 10 点満点中 9.8 とした Safari の脆弱性を報告したあるセキュリティ研究者は、支払われたのはわずか 1,000 ドルだったと述べている…

Appleは2022年にセキュリティ報奨金プログラムをアップグレードし、平均支払額は4万ドルで、「影響度の高い問題」に対して6桁の金額を支払った事例が20件あると発表しました。これには、MacとiPhoneの両方のカメラを乗っ取った学生への総額17万5千ドルの支払額も含まれています。

しかし、Macworld は、Safari の重大なセキュリティホールを発見した研究者に支払われたのはわずか 1,000 ドルだったと報じています。

XでRenwaX23という名の研究者が、重大なセキュリティホールと思われるものに対して賞金が支払われたという投稿をしました。Safariで発見されたこの脆弱性は、ユニバーサルクロスサイトスクリプティング（UXSS）の脆弱性で、攻撃者がユーザーになりすましてデータにアクセスできるようになるものです。今回の事例では、RenwaX23は、この脆弱性を利用してiCloudとiOSカメラアプリにアクセスできることを実証しました。

この脆弱性は「重大」と評価され、スコアは9.8（10点満点）と、決して軽微なバグではありませんでした。CVE-2025-30466として記録されたこの脆弱性は、Appleが3月にiOS/iPadOS 18.4およびmacOS 15.4のアップデートと共にリリースしたSafari 18.4で修正されました。RenwaX23氏は、このバグ発見の報酬としてわずか1,000ドルを受け取りました。

考えられる説明の一つは、攻撃者がエクスプロイトを使用する前に、ユーザーを騙して行動を起こさせる必要があるということです。Appleは、ユーザーインタラクションが報奨金の支払額を決定する基準の一つであると述べています。

しかし、別の投稿者は、発見した脆弱性はAppleの基準によれば5万ドルの賠償金が支払われるはずだったが、実際には5,000ドルしか受け取れなかったと述べている。

9to5Macの見解

Appleが現実世界の悪用リスクを正確に認識し、1,000ドルの支払いが適切だった可能性もある。しかし、Appleの深刻度評価と提示された金額の間には、非常に大きな乖離があるように思われる。

賠償金が非常に低い場合の危険性は、脆弱性を発見した人がAppleに報告するのではなく、闇市場で売却してしまう可能性があることです。重大な脆弱性を悪用してAppleデバイスをハッキングしようとする企業の場合、賠償金は最大500万ドルに達することもあります。

注目のアクセサリー

• Amazonの公式Appleストア
• Anker 511 Nano Pro 超小型iPhone充電器
• SpigenのiPhone 16e用MagFitケースがMagSafe対応に
• iPhone 16モデル用25W出力のApple MagSafe充電器
• 上記に対応するApple 30W充電器
• Anker 240W 編組 USB-C - USB-C ケーブル

UnsplashのJosh Appelによる写真

sbiple.com を Google ニュース フィードに追加します。