2021年10月31日 08時00分 公開
特集/連載

脆弱性を探すバグハンターは、なぜAppleにうんざりするのかAppleとバグハンターの“対立”【後編】

「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。

[Shaun Nichols,TechTarget]

関連キーワード

Apple | iOS | 脆弱性


 中編「セキュリティ研究者が『iOS』脆弱性“怒りの公表”に踏み切った理由」は、脆弱(ぜいじゃく)性に対するAppleの姿勢に不満を持ったセキュリティ研究者のデニス・トカレフ氏(「illusionofchaos」で知られる)が、「iOS」のゼロデイ(パッチ未配布)脆弱性を公表したいきさつを説明した。

 バグハンター(脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者)とAppleとの“対立”は、今回が初めてではない。トカレフ氏が自らのブログのエントリ(投稿)で指摘した通り、バグハンターは「Apple Security Bounty」(Appleセキュリティバウンティ)に提出した報告を受けてのAppleの脆弱性修正の遅れや、修正した脆弱性に関する情報公開などの措置に不満を持つことがあった。Appleセキュリティバウンティは、Appleのバグ報奨金・脆弱性報告プログラムのことだ。

Appleの姿勢に「うんざり」「いらいら」するバグハンター

 Apple製品の著名なセキュリティ研究者であり、Apple製品用セキュリティツールベンダーObjective-Seeの創業者パトリック・ウォードル氏は「こうした問題は以前から存在している」と指摘する。セキュリティ研究者はAppleセキュリティバウンティにうんざりして見切りを付け、報奨金には目もくれずにオンラインでバグを無償公開している。「このことは多くを物語っている」とウォードル氏は述べる。

 ウォードル氏は、過去に何度も「なぜ私が報告したバグや私の調査について、Appleが公開した情報には記載がなかったのか」とAppleに問い合わせたことがある。それに対してAppleは常に、セキュリティ情報の公開や、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の割り当てといった対処を実行したという。「だが私にとってそのプロセスは煩わしく、いらいらするものだった」と同氏は話す。「Appleと外部のセキュリティ研究コミュニティーのやりとりを見ると、Appleのセキュリティへのコミットメントに疑問を抱かざるを得なかった」(同氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news154.jpg

2022年に向けてサプライパス最適化(SPO)への投資が増加――IAS調査
広告支出の多くがプログラマティックバイイングに向かう中、SPO戦略への関心が高まってい...

news103.jpg

なぜ日本企業だけがデータを中心としたコミュニケーションへの変化に否定的なのか
パンデミックがコミュニケーションに与えた影響について、ビジネスリーダーの評価が日本...

news172.jpg

マクドナルドが有名ゲーム配信集団とタッグを組む理由
米McDonald'sとFaZe Clanがライブストリーミングイベント「Friendsgaming」を実施。有名...