「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”「Appleセキュリティバウンティ」は改善したのか【第3回】

Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。

2022年05月24日 08時15分 公開
[Alexander CulafiTechTarget]

関連キーワード

Apple | 脆弱性


 Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に対する、セキュリティ研究者のブランドン・ペリー氏の評価は、ある程度にとどまる。セキュリティコンサルティング企業Atredis Partnersのプリンシパルリサーチコンサルタントを務めるペリー氏は「自分が報告した脆弱性はどうなっているのか」をAppleに繰り返しメールで尋ねた。にもかかわらずAppleからは「何週間たっても返答がない」と、同氏は2022年2月にミニブログ「Twitter」で述べた。

コミュニケーションは改善されたが……いまだ残る「懸念」

 ペリー氏が報告した脆弱性は、Appleが提供する音楽制作アプリケーション「GarageBand」「Logic Pro」に関するものだ。同氏はこれらの脆弱性の詳細を、自身のブログで公表している。同ブログによると、同氏はAppleに38件の問題を報告し、Appleはそのうち2件を「CVE-2022-22657」「CVE-2022-22664」という脆弱性だと判定した。これらの脆弱性を同氏がAppleに報告したのは2021年12月のことだ。

 Appleがペリー氏に状況を説明したのは、同氏がTwitterで先述の発言をした直後だった。同氏の名は、2022年3月に同社が公開したセキュリティアップデートに記載されている。脆弱性が修正されるまで、Appleから情報を得ることは「非常に難しい」と同氏は語る。「『HackerOne』や『Bugcrowd』といった他のバグ報奨金プログラムの方が、反応が良く、双方向性がある」(同氏)

 コミュニケーションは改善されても、Appleによる一貫性のないパッチ提供は、依然として研究者が不満を抱く原因になっている。例えば最近発覚した2件の脆弱性「CVE-2022-22674」「CVE-2022-22675」のパッチに関して、Appleは批判の的になった。この脆弱性は既に攻撃者が悪用しており、Appleは「macOS Monterey」と、「iOS」「iPadOS」の複数バージョン向けのパッチを公開した。だが同社は2022年4月時点で、「macOS Catalina」および「macOS Big Sur」用のパッチは公開していない。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...