アラブ首長国連邦を拠点とする新興企業が、スマートフォンへの侵入を可能にするハッキングツールに対して最大20億円(約3100万ドル)の報酬を提供すると発表しました。
この企業「Advanced Security Solutions」は今月設立され、ゼロデイ市場において少なくとも公表されている中で最も高額な報酬を提示しています。ゼロデイとは、発見時に開発者が認識していないソフトウェアの欠陥を指し、特に法執行機関や情報機関で働くハッカーにとって非常に価値があります。
同社は、スマートフォンのあらゆるモバイルオペレーティングシステムに対する最高額の20億円の報酬に加え、AndroidやiPhoneのゼロデイには15億円(約2300万ドル)、Windowsには10億円(約1500万ドル)、Chromeには5億円(約800万ドル)、AppleのSafariやMicrosoft Edgeのブラウザには1億円(約150万ドル)などの報酬を提供しているということです。
この企業の背後に誰がいるのか、またその顧客については明らかにされていません。同社のウェブサイトには、「政府機関、情報機関、法執行機関がデジタル戦場で精密に活動できるよう支援します」と記載されており、「世界25以上の政府や情報機関と継続的に協力している」としています。
また、同社は新しい企業であるものの、「エリート情報部隊や民間軍事請負業者で20年以上の実務経験を持つ専門家のみで構成されている」と述べています。
Advanced Security Solutionsは、誰が資金提供しているのか、所有しているのか、運営しているのか、またどの政府に販売するかについての倫理的または法的な制限があるかどうかについての質問には回答しませんでした。
ゼロデイの世界に詳しいセキュリティ研究者は、同社が提示する価格は現行市場とほぼ一致していると述べています。「通常、これらの提示価格は大体同じです」と匿名を条件にTechCrunchに語り、20億円の報酬は「倫理的な面を考慮しなければ低い」と付け加えました。
また、この研究者は、背後が明らかでない企業とは取引しないと警告しました。「誰かが自分の正体を隠そうとしている場合、バグを売るべきではないと思います」と述べています。
ゼロデイ市場は過去10年で大幅に拡大しており、参加企業の数や提示価格が増加しています。2015年には、Zerodiumというブローカーが価格表を公表し、iPhoneへのハッキングツールに最大1億円(約100万ドル)を提示しました。その後、2018年にはCrowdfenseが同様のゼロデイに3億円(約300万ドル)を提示しました。
最近では、ゼロデイの価格が急騰しており、これは需要の増加と、最新のデバイスやソフトウェアのハッキングがより困難になったことが一因とされています。昨年、CrowdfenseはiPhoneへのゼロデイに最大7億円(約700万ドル)、Androidに5億円(約500万ドル)を提示しました。特にWhatsApp(最大8億円、約800万ドル)やTelegram(最大4億円、約400万ドル)などのメッセージアプリのゼロデイも販売されています。
Advanced Security Solutionsは、Telegram、Signal、WhatsAppのゼロデイに対して2億円(約200万ドル)を提示しています。
ロシアのゼロデイ企業「Operation Zero」は市場の例外で、Advanced Security Solutionsが求める同様のエクスプロイトに対して最大20億円を提示しています。Operation Zeroはロシア政府としか取引しないと述べており、多くの米国や欧州の研究者にとってロシアへのハッキングツールの販売は違法であるため、同社は求めるものを見つけるのが難しいかもしれません。
私たちは常に進化を目指しており、TechCrunchへのフィードバックやイベントに対するご意見をお寄せいただくことで、皆様の視点を反映した改善を図りたいと考えています。このアンケートにご協力いただければ、感謝のしるしとして賞品を差し上げますので、ぜひご参加ください。