2022年01月24日 05時00分 公開
特集/連載

「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言Appleの脆弱性への姿勢に疑問の声【後編】

同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。

[Alexander Culafi,TechTarget]

関連キーワード

Apple | セキュリティ | 脆弱性対策 | パッチ


 MalwarebytesでAppleのクライアントデバイス「Mac」およびモバイルデバイス分野の担当ディレクターを務めるトーマス・リード氏の説明によれば、AppleがクライアントOS「macOS Big Sur」における脆弱(ぜいじゃく)性「CVE-2021-30869」を修正してから約7カ月間、同社は以前のバージョンである「macOS Catalina」の同脆弱性を修正しなかった。CVE-2021-30869は、AppleのクライアントOS「macOS」が採用するカーネル(OSの中核プログラム)「XNU」の脆弱性だ。

 2021年4月開催のセキュリティカンファレンス「Zer0con」では、セキュリティ研究者がCVE-2021-30869を詳細に解説した。「それにもかかわらず、パッチは未配布のままだった」とリード氏は説明。「攻撃者は攻撃活動を検出されることなく、macOS Catalinaを利用する人を狙うことができた」と問題を指摘する。

 Appleは2021年2月にmacOS Big Surのバージョン11.2を公開した当初、CVE-2021-30869の修正をリリースノートに記載しなかった。CVE-2021-30869を修正したことをリリースノートに追記したのは、macOS Catalina向けのCVE-2021-30869修正パッチを公開した2021年9月だった。

古いmacOSを使うのは“自己責任”か Appleへの不信感

 こうしたAppleの行動に対して、リード氏は「非常に不審に思う」と述べる。その理由についてリード氏は、以下の2つの可能性を挙げる。

  • Appleは「CVE-2021-30869はmacOS Catalinaで修正する必要がある」ことを以前から知っていた
  • Appleは「2021年2月に修正したmacOS Big Surの脆弱性と、CVE-2021-30869が同じだとすぐ見抜いた」ことを示唆しようとしていた

 「macOS Catalinaの修正が遅れたことは、『macOSの最新バージョンの修正に関してのみAppleを信頼できる』ということだ」とリード氏は話す。2021年11月時点で、macOSの最新メジャーバージョンは「macOS Monterey」だ。「あなたが古いmacOSを使っている場合、それは自己責任ということになる」と同氏は指摘する。

 Appleのセキュリティに関する動向は過去にもやり玉に挙げられた。米TechTargetがAppleに不満を抱える複数のバグハンター(脆弱性を探し出し、バグ報奨金プログラムに報告するセキュリティ研究者)に取材したところ、「Appleはコミュニケーションが不十分で、セキュリティ研究者を適切に評価していない」との批判があった。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...