Appleは、iPhone、iPad、Mac向けの新たな取り組みとして「Apple Intelligence」を発表しました。このプログラムは、Appleのデバイス向けに提供するプライベートクラウドコンピューティング(PCC)サーバーのセキュリティとプライバシーを強化することを目的としています。Appleはまた、サイバーセキュリティの専門家がPCCの脆弱性を発見した場合、最大100万ドルの報奨金を提供することを発表しました。これは、iOSおよびmacOSのプライバシーとAIセキュリティの向上に向けた重要なステップとなります。
バグ報奨金プログラムの対象とする脆弱性
Appleのセキュリティガイドで説明されている、最も重大な脅威に基づき、以下の脆弱性が報奨金の対象となります。
- 意図しないデータ開示
- 構成ミスやシステム設計の欠陥により、データが想定外に公開される脆弱性。
- ユーザーリクエストからの外部攻撃
- 外部攻撃者がユーザーリクエストを悪用し、PCCに対して不正アクセスを行う脆弱性。
- 物理的または内部アクセスによる攻撃
- 内部インターフェースへのアクセスが、システム全体の侵害につながる脆弱性。
これらの脆弱性を発見し報告した場合、AppleはiOS向けバグ報奨金と同等の報奨金を提供します。特に、PCCサーバーの信頼境界(trust boundary)を越えてユーザーデータや推論リクエストデータにアクセスできる脆弱性に対しては、最大の報奨金が付与されます。
バグ報奨金の詳細
以下の表は、プライベートクラウドコンピューティング(PCC)における報奨金のカテゴリーと最大金額を示しています。
| カテゴリー | 説明 | 最大報奨金額 |
|---|---|---|
| リクエストデータへのリモート攻撃 | 任意の特権での任意コード実行 | 1,000,000ドル |
| 信頼境界外でのユーザーデータへのアクセス | 不正アクセスによりデータ侵害を達成 | 250,000ドル |
| 特権的ネットワーク位置からの攻撃 | 信頼境界外のユーザーデータへのアクセス | 150,000ドル |
| 未認証コードの実行 | 未検証コードの実行能力 | 100,000ドル |
| 構成ミスによる意図しないデータ開示 | 想定外のデータ公開 | 50,000ドル |
報告と審査基準
Appleは、ユーザープライバシーやセキュリティの侵害を非常に重視しています。そのため、報告された脆弱性が既存のカテゴリーに当てはまらない場合でも、PCCのセキュリティに重大な影響を与えるものであれば、報奨金の対象として検討します。
審査基準は以下の要素に基づいて行われます:
- 報告内容の品質
(具体的かつ正確な説明、再現手順などが含まれているか) - 実際に悪用可能な証拠
(攻撃シナリオが現実的かつ再現性があるか) - ユーザーへの影響の大きさ
(プライバシー侵害の範囲やシステムへの影響度)
参照
