脆弱性を探すバグハンターは、なぜAppleにうんざりするのかAppleとバグハンターの“対立”【後編】

「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。

2021年10月31日 08時00分 公開
[Shaun NicholsTechTarget]

関連キーワード

Apple | iOS | 脆弱性


 中編「セキュリティ研究者が『iOS』脆弱性“怒りの公表”に踏み切った理由」は、脆弱(ぜいじゃく)性に対するAppleの姿勢に不満を持ったセキュリティ研究者のデニス・トカレフ氏(「illusionofchaos」で知られる)が、「iOS」のゼロデイ(パッチ未配布)脆弱性を公表したいきさつを説明した。

Appleの姿勢に「うんざり」「いらいら」するバグハンター

 バグハンター(脆弱性を探し出し、企業などのバグ報奨金プログラムを通じて報告するセキュリティ研究者)とAppleとの“対立”は、今回が初めてではない。トカレフ氏が自らのブログのエントリ(投稿)で指摘した通り、バグハンターは「Apple Security Bounty」(Appleセキュリティバウンティ)に提出した報告を受けてのAppleの脆弱性修正の遅れや、修正した脆弱性に関する情報公開などの措置に不満を持つことがあった。Appleセキュリティバウンティは、Appleのバグ報奨金・脆弱性報告プログラムのことだ。

 Apple製品の著名なセキュリティ研究者であり、Apple製品用セキュリティツールベンダーObjective-Seeの創業者パトリック・ウォードル氏は「こうした問題は以前から存在している」と指摘する。セキュリティ研究者はAppleセキュリティバウンティにうんざりして見切りを付け、報奨金には目もくれずにオンラインでバグを無償公開している。「このことは多くを物語っている」とウォードル氏は述べる。

 ウォードル氏は、過去に何度も「なぜ私が報告したバグや私の調査について、Appleが公開した情報には記載がなかったのか」とAppleに問い合わせたことがある。それに対してAppleは常に、セキュリティ情報の公開や、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の割り当てといった対処を実行したという。「だが私にとってそのプロセスは煩わしく、いらいらするものだった」と同氏は話す。「Appleと外部のセキュリティ研究コミュニティーのやりとりを見ると、Appleのセキュリティへのコミットメントに疑問を抱かざるを得なかった」(同氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...