iOS 9のリモート脱獄手法を発見した研究者に100万ドルの賞金を支払って話題となったZERODIUMが、各種ゼロデイ脆弱性を使用するエクスプロイトの買い取り価格を公表している(ZERODIUM — Program、 BetaNewsの記事、 WIREDの記事)。

最も高額なのはモバイルOSに対するリモート脱獄で、iOSが最高50万ドル、AndroidおよびWindows Phoneが最高10万ドルとなっている。デスクトップOSではWindowsおよびMac OS Xの特権昇格+サンドボックス迂回、Linuxの特権昇格に最高3万ドルの値が付けられている。最も低額なのはWordPressやvBulletinといったWebアプリに対するリモートからのコード実行で、最高5千ドルとなる。

Webブラウザ(Chrome/IE/Edge/Tor Browser/Firefox/Safari)におけるリモートからのコード実行は最高3万ドル、これにサンドボックス迂回が加わるとIE/EdgeおよびSafariでは最高5万ドル、Chromeでは最高8万ドルとなる。Flash Playerではリモートからのコード実行が最高5万ドル、サンドボックス迂回が加われば最高8万ドルとなっている。

ZERODIUMが買い取るのは研究者が独自に発見した未知のゼロデイ脆弱性を使用するエクスプロイトのみで、エクスプロイトの完成度によって買い取り額は変動する。また、FacebookやGoogle、AppleなどのオンラインサービスやWebサイトに対するエクスプロイトの買い取りは行わないとのこと。

ゼロデイエクスプロイトの買い取り価格が公表されるのは初めてとのことで、セキュリティ研究者が発見したゼロデイ脆弱性に対する正当な価格を知ることができるとの評価がある一方、公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。