2021年10月30日 08時00分 公開
特集/連載

セキュリティ研究者が「iOS」脆弱性“怒りの公表”に踏み切った理由Appleとバグハンターの“対立”【中編】

脆弱性に対するAppleの姿勢に不満を持ったあるセキュリティ研究者が、「iOS」に存在する脆弱性の公表に踏み切った。Appleのどのような対処が、セキュリティ研究者をいら立たせたのか。

[Shaun Nichols,TechTarget]

関連キーワード

Apple | iOS | 脆弱性


 前編「セキュリティ研究家が“怒り”の公開 Apple『iOS』3つの脆弱性とは」は、「illusionofchaos」ことセキュリティ研究者のデニス・トカレフ氏が、「iOS」のゼロデイ(パッチ未配布)脆弱性3件を公表したことを説明した。脆弱性公表の理由としてトカレフ氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(Appleセキュリティバウンティ)が「脆弱性をなおざりにしている」ことを挙げる。それはどういうことなのか。

Appleの“あの対応”が研究者の逆鱗に触れた

 トカレフ氏は公表した3件の他に、もう1つの脆弱性(前編で説明)も発見していた。それは「iOS 14.7」で修正された。だがAppleがWebページに脆弱性情報を記載しなかったことをトカレフ氏は非難した。

 iOS 14.7の公開後にトカレフ氏がAppleに疑問をぶつけたところ、Appleは不手際があったことを認め、謝罪した。そして次回のアップデート時に、脆弱性情報をWebページに記載すると約束した。「それから3回アップデートがあったが、彼らは毎回約束を破った」と同氏は言う。

 こうした背景を受けてトカレフ氏はAppleに説明を求め、「説明がなければ調査結果を公表する」と伝えたが、無視された。そこで同氏は、脆弱性3件の詳細を含む調査結果の公表に踏み切った。他社のセキュリティ研究者が調査結果を精査したところ、3件ともiOSに存在する脆弱性であることを確認できた。

 ブログエントリを公開した翌日にトカレフ氏は、Appleから「脆弱性について引き続き調査している」という返答をもらい、そのことを同エントリに追記した。Appleは、同氏が問題を報告したことに謝意を表し、返答の遅れを謝罪したという。


 後編は、バグハンター(脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者)がAppleに対して抱いてきた不満を整理する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news027.jpg

さようならiPod Appleへの20年の貢献度を振り返る
ポータブルミュージック40年の歴史とともに、その偉業を振り返ってみましょう。

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。