「脆弱性の買取」を行うZERODIUMが買い取り価格をアップ、iOSを遠隔で脱獄させる脆弱性は2億円以上

by Sharon McCutcheon

様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZERODIUMの買取額は破格であり、研究者からはZERODIUMの信頼性に疑問を投げかける声もあります。

ZERODIUM - The Leading Exploit Acquisition Platform
https://zerodium.com/

「脆弱性獲得プラットフォーム」を称するZERODIUMは、セキュリティ研究者のもとに未知のゼロデイ脆弱性を届けるべく活動しているとのこと。企業のバグ発見報奨金プログラムが、おおむねどんなバグや脆弱性でも受け入れる代わりに金額はそう多くはないのに対して、ZERODIUMは買取対象をリスクの高い脆弱性に絞り込み、高額の報酬を支払うとうたっています。

ZERODIUMの買取金額は1件につき2000ドル(約22万円)から200万ドル(約2億1700万円)に設定されています。

ZERODIUM - How to Sell Your 0day Exploit to ZERODIUM
https://zerodium.com/program.html#changelog

具体的には、iOSを遠隔で脱獄(ジェイルブレイク)させる脆弱性が、クリック不要なら200万ドル(約2億1700万円)、1クリックなら150万ドル(約1億6300万円)。WhatsAppやiMessage、その他のSMS・MMSでリモートコードを実行させる脆弱性が100万ドル(約1億900万円)。Windowsでリモートコードを実行させる脆弱性も100万ドル(約1億900万円)となっています。

ZERODIUMでは、提出された脆弱性を1週間以内に評価・検証。支払いは電信送金や暗号資産(仮想通貨)などによって行われるとのこと。

企業よりも高額で買取をしてくれるというのは魅力的ですが、一方で、独立系のコンピューターセキュリティアナリストであるグラハム・クルーリー氏はZERODIUMの危険性を指摘しています。

Earn $2,000,000 by remotely jailbreaking an iPhone
https://www.grahamcluley.com/earn-2000000-by-remotely-jailbreaking-an-iphone/

クルーリー氏は「そもそも、なぜそんな高額の買い取りができるのか。それは、ZERODIUMが集めた情報を他人に売ることで利益を上げられると信じているからです」と指摘。

売る相手がAppleやGoogle、Microsoftといったベンダーで、バグ修正に生かされるならいいのですが、実際は犯罪者やテロリスト、外国を狙うためにゼロデイ攻撃をもくろむ政府や諜報機関ではないかとクルーリー氏はにらんでいます。もし、実際に顧客がそういった「悪意ある攻撃者」なのであれば、パッチが適用されてしまうとせっかくの脆弱性の価値が下がるため、情報をベンダーやセキュリティ専門家に提供することは考えられません。

クルーリー氏は「そもそも、こうやってZERODIUMのことを記事にする時点で彼らの名声を高めてしまう」と口を曲げた顔文字「:(」を使ってモヤモヤした感情を示しつつ、もし該当するような脆弱性がAppleではなくZERODIUMに報告された場合、すべてのユーザーが危険に晒されると警鐘を鳴らしました。