Appleは、セキュリティバウンティプログラムをテクノロジー業界で最も寛大なプログラムの一つとして宣伝しており、高リスクの脆弱性に対して最大200万ドルの報奨金を提供しています。しかし、最近の出来事により、同社の報奨金決定方法について疑問が生じています。Safariの深刻な脆弱性を報告した研究者は、Appleがそのバグを「緊急」と分類し、深刻度スコアを10点満点中9.8点と評価したにもかかわらず、わずか1,000ドルしか支払われませんでした。

深刻な脆弱性、驚くほど低い報酬

XでRenwaX23として知られる研究者は、Safariにユニバーサルクロスサイトスクリプティング（UXSS）の脆弱性を発見しました。この脆弱性を悪用すると、攻撃者はユーザーになりすまして個人情報にアクセスできるようになります。今回のケースでは、この脆弱性を悪用することでiCloudアカウントやiOSカメラアプリへのアクセスが可能になりました。

Appleはこの脆弱性を認め、CVE-2025-30466として記録し、3月にiOS/iPadOS 18.4およびmacOS 15.4とともにリリースされたSafari 18.4で修正しました。深刻さと潜在的な影響にもかかわらず、AppleはRenwaX23にわずか1,000ドルしか支払いませんでした。

Appleはインタラクション要件を挙げるが、研究者は反対

Appleの報奨金ガイドラインによると、支払額は、必要なユーザーインタラクションのレベル、影響を受けるユーザー数、アクセスの深さ、提出されたレポートの質など、いくつかの要素によって決まります。今回のケースでは、エクスプロイトの実行にはユーザーによる操作が必要だったため、Appleは支払額を減額した可能性があります。

それでも、セキュリティ研究者たちは、Appleがこれらの基準を一貫して適用していないと主張している。RenwaX23の投稿に対し、別の研究者であるTaiko_soupは、Apple独自の枠組みでは5万ドルの賠償金が支払われるべき脆弱性に対し、Appleはわずか5,000ドルしか提示しなかったと述べている。

RenwaX23氏の体験を最初に報じたのはMacworldだった。同誌は、Appleの一貫性のない、そして時には少額の支払いに対するセキュリティ研究コミュニティの不満が高まっていることを指摘した。

セキュリティ研究者にとってのAppleの評判が危険にさらされている

問題は金銭だけの問題ではありません。Appleが、エコシステムの安全維持に貢献する研究者たちの仕事にどれほどの価値を置いているかという点です。これらの専門家たちは、コードの解析、攻撃のシミュレーション、バグの記録に膨大な時間を費やしています。Appleのような規模の企業が、重大な脆弱性に対して1,000ドルの報酬を提示するということは、そうした努力を無駄にすることになります。

Appleはセキュリティコミュニティとの連携を重視しており、脆弱性修正に関するアップデートを定期的に公開していると述べています。しかし、Appleの信頼を維持したいのであれば、研究者が軽減に貢献したリスクに見合った報酬を支払うことで、その信頼を裏付ける必要があります。