脆弱性に対するAppleの姿勢に不満を持ったあるセキュリティ研究者が、「iOS」に存在する脆弱性の公表に踏み切った。Appleのどのような対処が、セキュリティ研究者をいら立たせたのか。
前編「セキュリティ研究家が“怒り”の公開 Apple『iOS』3つの脆弱性とは」は、「illusionofchaos」ことセキュリティ研究者のデニス・トカレフ氏が、「iOS」のゼロデイ(パッチ未配布)脆弱性3件を公表したことを説明した。脆弱性公表の理由としてトカレフ氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(Appleセキュリティバウンティ)が「脆弱性をなおざりにしている」ことを挙げる。それはどういうことなのか。
トカレフ氏は公表した3件の他に、もう1つの脆弱性(前編で説明)も発見していた。それは「iOS 14.7」で修正された。だがAppleがWebページに脆弱性情報を記載しなかったことをトカレフ氏は非難した。
iOS 14.7の公開後にトカレフ氏がAppleに疑問をぶつけたところ、Appleは不手際があったことを認め、謝罪した。そして次回のアップデート時に、脆弱性情報をWebページに記載すると約束した。「それから3回アップデートがあったが、彼らは毎回約束を破った」と同氏は言う。
こうした背景を受けてトカレフ氏はAppleに説明を求め、「説明がなければ調査結果を公表する」と伝えたが、無視された。そこで同氏は、脆弱性3件の詳細を含む調査結果の公表に踏み切った。他社のセキュリティ研究者が調査結果を精査したところ、3件ともiOSに存在する脆弱性であることを確認できた。
ブログエントリを公開した翌日にトカレフ氏は、Appleから「脆弱性について引き続き調査している」という返答をもらい、そのことを同エントリに追記した。Appleは、同氏が問題を報告したことに謝意を表し、返答の遅れを謝罪したという。
後編は、バグハンター(脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者)がAppleに対して抱いてきた不満を整理する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...