脆弱性買い上げ企業、スマートフォン重視で価格改定
「電話機への実攻撃可能なコード求む。最高額を用意して待つ」
未公開(「ゼロデイ」)の脆弱性を買い上げるZerodiumが、買い上げ価格を改定しました。従来よりもスマートフォン関連の価格が上がっています。
| 買い上げ最高金額 | 項目 |
|---|---|
| 150万ドル | クリック不要なiPhone遠隔脱獄 |
| 100万ドル | iPhone遠隔脱獄 |
| 50万ドル | メッセンジャーやメール、SMSアプリの遠隔コード実行&権限上昇 |
| 30万ドル | クリック不要なWindows遠隔コード実行 |
| 15万ドル | ベースバンドや主要ブラウザ、サーバ、スマートフォン上のメディア、文書ファイルを通じた遠隔コード実行など |
……といった感じで、iOS > Android > Windows > その他、という優先順位が感じられます(Zerodiumのサイトでは、まず「Mobile」の表、続いて「Desktops/Servers」の表があり、順序からも優先度は明らかでしょう)。今回は以前よりもメッセンジャーアプリの価格が上がり、ベースバンドやスマートフォン上での各種ファイルが追加されたのが目立ちます。
なお、この金額は「最高額」であり、実際はもっと低くなることが予想されます。また、Zerodiumは「完成品」のみを受け付けます。不安定だったり、部分的なコードでは買い上げません。
ちなみに最大50万ドル枠の「メッセンジャーアプリ」に含まれるのは、WeChat、Viber、Facebook messanger、Signal、Telegram、WhatsApp、iMessageです。類似アプリであるLINEは表の最後まで見ても出てきません。需要がないのでしょうが、なぜでしょうね。
また、最大15万ドル枠のブラウザはChromeとSafariです。サーバはApacheとIIS。
と言いつつ、10万ドルには「Linux上のFirefox+Torに対する遠隔コード実行&権限上昇」が入っています(Linuxクライアントではこれが最高額)。TorアクセスはWindowsよりもLinuxからというパターンが多いのでしょうね(Windowsだと最高額が8万ドルに下がります)。
Zerodiumは、買い上げた脆弱性について、限定された数の、主にヨーロッパや北米にある組織だけに販売している、と述べています(実際の取引先は非公開)。一方、同社に対しては、ゼロデイ脆弱性が反体制派やジャーナリストなどへの攻撃に無制限に使われているのではないか、との批判もあります。
