安全性とプライバシー重視の姿勢を強調するApple。ところがそのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイ(未知・未解決)の脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。
セキュリティ研究者のillusionofchaosことデニス・トカレフ氏は9月24日のブログで、AppleのiOSに存在する4件の脆弱性に関する詳細を公表した。いずれもAppleのセキュリティバウンティプログラム(脆弱性情報に賞金を支払う制度)を通じて2021年3月10日〜5月4日に報告した脆弱性だった。
ところがトカレフ氏によると、そのうち3件は最新バージョンのiOS 15.0でもまだ修正されないままだという。1件は14.7で修正されたが、Appleのセキュリティ情報ページには記載されていなかった。
この情報が「隠蔽された」と感じたトカレフ氏が問いただしたところAppleは、手違いがあったので次回の更新の際に記載すると約束したという。「以来、3回のリリースがあったが、そのたびに約束が破られた」とトカレフ氏は憤る。
「10日前に説明を求め、説明がなければ私の研究を公表すると通告した。そのリクエストが無視されたので、私は予告した通り実行に移した。私の行動は責任ある情報公開のガイドラインに沿っている」
トカレフ氏が報告した脆弱性は、App Storeからインストールしたアプリを通じてユーザーのデータが不正アクセスされる恐れがあるなど、個人情報の流出を招きかねないものだった。
セキュリティ業界では一般的に、外部の研究者がメーカーに脆弱性を報告してから修正されるまでの期間を3カ月とする目安がある。問題が深刻で、影響が広範囲に及ぶなどの事情で対応に時間がかかる場合は発見者との緊密な連携が求められる。GoogleやMicrosoftなどはバウンティプログラムを通じて多額の賞金を贈呈するとともに、こうした研究者の貢献を評価する姿勢をアピールしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR