米国で昨年12月に発生した銃乱射事件の犯人が使用していたiPhone 5cについて、FBIがロック解除に用いたのはプロのハッカーから買い取ったゼロデイ脆弱性だとWashington Postが報じている。

このようなプロのハッカーは「グレイハット」とも呼ばれるセキュリティ研究者だ。あまり表立った活動をせず、発見した脆弱性を政府機関などに売って収入を得ているという。The Washington Postの情報提供者によれば、FBIでは研究者から買い取った少なくとも1件のゼロデイ脆弱性を用い、回数の制限なくパスコードによるアンロックを試行できるハードウェアを作成したとのこと。なお、本件についてはイスラエルのCellebriteがロック解除技術を提供したとも報じられたが、その必要はなかったと情報提供者は語っている。

米政府では発見した脆弱性を基本的に開示する方針だが、本件で使われた脆弱性をAppleに開示して修正が行われれば捜査で使用できなくなる。そのため、捜査での必要がなくなるまでは開示されないとみられるが、そのタイミングについては政府が決定することになる。脆弱性の悪用が表面化した場合には、その時点で決断されることになるようだ。