2022年05月24日 08時15分 公開
特集/連載

「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”「Appleセキュリティバウンティ」は改善したのか【第3回】

Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。

[Alexander Culafi,TechTarget]

関連キーワード

Apple | 脆弱性


 Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に対する、セキュリティ研究者のブランドン・ペリー氏の評価は、ある程度にとどまる。セキュリティコンサルティング企業Atredis Partnersのプリンシパルリサーチコンサルタントを務めるペリー氏は「自分が報告した脆弱性はどうなっているのか」をAppleに繰り返しメールで尋ねた。にもかかわらずAppleからは「何週間たっても返答がない」と、同氏は2022年2月にミニブログ「Twitter」で述べた。

コミュニケーションは改善されたが……いまだ残る「懸念」

 ペリー氏が報告した脆弱性は、Appleが提供する音楽制作アプリケーション「GarageBand」「Logic Pro」に関するものだ。同氏はこれらの脆弱性の詳細を、自身のブログで公表している。同ブログによると、同氏はAppleに38件の問題を報告し、Appleはそのうち2件を「CVE-2022-22657」「CVE-2022-22664」という脆弱性だと判定した。これらの脆弱性を同氏がAppleに報告したのは2021年12月のことだ。

 Appleがペリー氏に状況を説明したのは、同氏がTwitterで先述の発言をした直後だった。同氏の名は、2022年3月に同社が公開したセキュリティアップデートに記載されている。脆弱性が修正されるまで、Appleから情報を得ることは「非常に難しい」と同氏は語る。「『HackerOne』や『Bugcrowd』といった他のバグ報奨金プログラムの方が、反応が良く、双方向性がある」(同氏)

 コミュニケーションは改善されても、Appleによる一貫性のないパッチ提供は、依然として研究者が不満を抱く原因になっている。例えば最近発覚した2件の脆弱性「CVE-2022-22674」「CVE-2022-22675」のパッチに関して、Appleは批判の的になった。この脆弱性は既に攻撃者が悪用しており、Appleは「macOS Monterey」と、「iOS」「iPadOS」の複数バージョン向けのパッチを公開した。だが同社は2022年4月時点で、「macOS Catalina」および「macOS Big Sur」用のパッチは公開していない。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news194.jpg

残念なブランド体験で8割の顧客は「もう買わない」――Sitecore調査
消費者にとって不都合な事象が発生した際にも、ブランドを好きでいられるのは10人に1人。

news131.jpg

ナイキとアディダスに学ぶ ファンを増やす企業文化とは?
スポーツにおけるトップブランドの座を巡ってし烈な競争を繰り広げてきたナイキとアディ...

news046.jpg

DXにおける「コンサルティング力」とは?
DXが加速する中でコンサルティング人材へのニーズが高まっています。DXにおける「コンサ...