「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。
中編「セキュリティ研究者が『iOS』脆弱性“怒りの公表”に踏み切った理由」は、脆弱(ぜいじゃく)性に対するAppleの姿勢に不満を持ったセキュリティ研究者のデニス・トカレフ氏(「illusionofchaos」で知られる)が、「iOS」のゼロデイ(パッチ未配布)脆弱性を公表したいきさつを説明した。
バグハンター(脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者)とAppleとの“対立”は、今回が初めてではない。トカレフ氏が自らのブログのエントリ(投稿)で指摘した通り、バグハンターは「Apple Security Bounty」(Appleセキュリティバウンティ)に提出した報告を受けてのAppleの脆弱性修正の遅れや、修正した脆弱性に関する情報公開などの措置に不満を持つことがあった。Appleセキュリティバウンティは、Appleのバグ報奨金・脆弱性報告プログラムのことだ。
Apple製品の著名なセキュリティ研究者であり、Apple製品用セキュリティツールベンダーObjective-Seeの創業者パトリック・ウォードル氏は「こうした問題は以前から存在している」と指摘する。セキュリティ研究者はAppleセキュリティバウンティにうんざりして見切りを付け、報奨金には目もくれずにオンラインでバグを無償公開している。「このことは多くを物語っている」とウォードル氏は述べる。
ウォードル氏は、過去に何度も「なぜ私が報告したバグや私の調査について、Appleが公開した情報には記載がなかったのか」とAppleに問い合わせたことがある。それに対してAppleは常に、セキュリティ情報の公開や、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の割り当てといった対処を実行したという。「だが私にとってそのプロセスは煩わしく、いらいらするものだった」と同氏は話す。「Appleと外部のセキュリティ研究コミュニティーのやりとりを見ると、Appleのセキュリティへのコミットメントに疑問を抱かざるを得なかった」(同氏)
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...
AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...