セキュリティエクスプロイトのブローカーであるZerodiumは、パッチが完全に適用されたiPhoneとiPadに対して有効な攻撃に対し、150万ドルの賞金を提示しているとArs Technicaが報じています。これは以前の提示額の3倍に相当します。
Zerodiumは、Googleの競合OSであるAndroidのこれまで未知の脆弱性を悪用した攻撃に対する賠償金を2倍の20万ドルに引き上げた。また、AdobeのFlashメディアプレーヤーにおけるいわゆるゼロデイエクスプロイトに対する賠償金も5万ドルから8万ドルに引き上げた。同社は、実際に動作するエクスプロイトを購入後、大手テクノロジー企業、金融企業、防衛企業、政府機関などの顧客に販売している。ゼロデイ脆弱性とは、開発者がまだ知らない脆弱性のことであり、企業はゼロデイでエクスプロイト対策を講じることができる。
「価格は、エクスプロイトの完全なチェーンを作成する難易度に直接関係しており、iOS 10とAndroid 7はどちらも以前のバージョンよりもはるかにエクスプロイトが困難になっていることはわかっています」と、Zerodiumの創設者Chaouki Bekrar氏はArsに語った。iOSのエクスプロイトのチェーンがAndroidの同等のエクスプロイトの7.5倍の価格である理由について尋ねられると、彼は次のように答えた。「つまり、iOS 10のチェーンエクスプロイトはAndroidよりも7.5倍困難であるか、iOSのエクスプロイトの需要が7.5倍高いかのどちらかです。現実は、その両方です。」
Zerodiumは一連のエクスプロイトを購入し、政府機関に転売します。政府はこれらのソリューションを適用し、監視目的で標的のデバイスを侵害します。
「Zerodiumの動きは、既に高額となっている重大度の高い脆弱性報告の価格に、さらに大きな値上げ圧力をかけることになる」と、Arsのセキュリティ編集者であるダン・グッドイン氏は指摘する。「また、Apple、Google、その他のソフトウェアメーカーが製品のセキュリティ強化に継続的に取り組んでいるにもかかわらず、ゼロデイ脆弱性攻撃が依然として大量に出回っている状況が続くことになるだろう。」
