ZERODIUMが各種ゼロデイエクスプロイトの買い取り価格を公表

iOS 9のリモート脱獄手法を発見した研究者に100万ドルの賞金を支払って話題となったZERODIUMが、各種ゼロデイ脆弱性を使用するエクスプロイトの買い取り価格を公表している(ZERODIUM — Program、BetaNewsの記事、WIREDの記事)。

最も高額なのはモバイルOSに対するリモート脱獄で、iOSが最高50万ドル、AndroidおよびWindows Phoneが最高10万ドルとなっている。デスクトップOSではWindowsおよびMac OS Xの特権昇格+サンドボックス迂回、Linuxの特権昇格に最高3万ドルの値が付けられている。最も低額なのはWordPressやvBulletinといったWebアプリに対するリモートからのコード実行で、最高5千ドルとなる。

Webブラウザ(Chrome/IE/Edge/Tor Browser/Firefox/Safari)におけるリモートからのコード実行は最高3万ドル、これにサンドボックス迂回が加わるとIE/EdgeおよびSafariでは最高5万ドル、Chromeでは最高8万ドルとなる。Flash Playerではリモートからのコード実行が最高5万ドル、サンドボックス迂回が加われば最高8万ドルとなっている。

ZERODIUMが買い取るのは研究者が独自に発見した未知のゼロデイ脆弱性を使用するエクスプロイトのみで、エクスプロイトの完成度によって買い取り額は変動する。また、FacebookやGoogle、AppleなどのオンラインサービスやWebサイトに対するエクスプロイトの買い取りは行わないとのこと。

ゼロデイエクスプロイトの買い取り価格が公表されるのは初めてとのことで、セキュリティ研究者が発見したゼロデイ脆弱性に対する正当な価格を知ることができるとの評価がある一方、公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。　スラドのコメントを読む | セキュリティセクション | セキュリティ | お金

　関連ストーリー：
多くの企業では「バグ報告窓口」を提供していない 2015年11月11日
iOS 9のリモート脱獄報奨金プログラム、1チームが100万ドルを獲得 2015年11月06日
iOS 9の脱獄に合計300万ドルの賞金を出すという企業が登場 2015年09月25日
Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず 2015年06月25日
サイボウズ、脆弱性報奨金制度の成果を公表 2014年07月16日
mixi、脆弱性報告制度における報酬支払いを渋る？ 2014年05月14日
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
MS、IE11の脆弱性発見者に対し総額2万8,000ドルの賞金を出す 2013年10月10日
脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 2013年10月06日
XSSを報告したためにインターネット接続を止められるという事案発生 2013年09月12日
「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い 2013年07月12日
Microsoft、バグ発見報奨金プログラム導入 2013年06月24日
Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 2010年09月16日