2019/08/23

Apple の脆弱性発見の取り組み

Apple,アップル

2019 年 8 月 23 日 Trevor Collins 著

Apple は、自社製品に存在する脆弱性を犯罪者に知られる前に発見するためのさまざまな方法を取り入れており、たとえば、最近の例として、セキュリティ研究者に iPhone を提供し、脆弱性を発見してもらう取り組みを開始しました。また、ほぼ同時期に、バグ発見プログラムの報奨金を引き上げ、ユーザの介入なく電話を完全制御できるバグに対して、最高額の 100 万ドルを支払うと発表しました。また、電話への一定のアクセスを可能にする脆弱性についても、50 万ドルを支払うとしています。さらには、報奨金プログラムを招待制から完全公開に変更しました。Apple デバイスのセキュリティは高く評価されており、これらの新たな取り組みが優れたセキュリティの維持に役立つはずです。Apple のセキュリティに対するこのような強い姿勢は感謝すべきものです。

Apple にとってすべてが順調であるわけではありません。たとえば、今週には、あるバグ(12.3 で以前に修正されたバグ)が iOS 12.4 アップデートで修正されていないことがわかりました。UncOver という名前のグループが、こちらの脆弱性のエクスプロイトコードを公開しました。この脆弱性とエクスプロイトを使用することで、ユーザは、自分の携帯電話をジェイルブレイクできますが、App Store からダウンロードしたアプリもこの脆弱性を悪用し、ユーザの携帯電話を制御できるようになる可能性があります。

このことは、製品のセキュリティを重視している企業であっても間違いを犯すものであることを示しています。製品のセキュリティを 100% 保証することは、Apple のような巨大企業であっても不可能であり、これは、ユーザが携帯電話にインストールするソフトウェアに十分に注意する必要があることを意味します。これらの脆弱性が存在することから、インストールするアプリに注意し、エクスプロイの可能性を減らすために、公式の App Store 以外からアプリをロードしないようにし、レビューのコメントや投稿された時期を確認し、アプリの作成者もチェックして怪しいアプリを作成していないか確認することをお勧めします。