「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”：「Appleセキュリティバウンティ」は改善したのか【第3回】

Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。

[Alexander Culafi，TechTarget]

　Appleのバグ報奨金・脆弱（ぜいじゃく）性報告プログラム「Apple Security Bounty」（ASB：Appleセキュリティバウンティ）に対する、セキュリティ研究者のブランドン・ペリー氏の評価は、ある程度にとどまる。セキュリティコンサルティング企業Atredis Partnersのプリンシパルリサーチコンサルタントを務めるペリー氏は「自分が報告した脆弱性はどうなっているのか」をAppleに繰り返しメールで尋ねた。にもかかわらずAppleからは「何週間たっても返答がない」と、同氏は2022年2月にミニブログ「Twitter」で述べた。

コミュニケーションは改善されたが……いまだ残る「懸念」

併せて読みたいお薦め記事

Appleの脆弱性との向き合い方

• 脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
• セキュリティ研究者が「iOS」脆弱性“怒りの公表”に踏み切った理由

　ペリー氏が報告した脆弱性は、Appleが提供する音楽制作アプリケーション「GarageBand」「Logic Pro」に関するものだ。同氏はこれらの脆弱性の詳細を、自身のブログで公表している。同ブログによると、同氏はAppleに38件の問題を報告し、Appleはそのうち2件を「CVE-2022-22657」「CVE-2022-22664」という脆弱性だと判定した。これらの脆弱性を同氏がAppleに報告したのは2021年12月のことだ。

　Appleがペリー氏に状況を説明したのは、同氏がTwitterで先述の発言をした直後だった。同氏の名は、2022年3月に同社が公開したセキュリティアップデートに記載されている。脆弱性が修正されるまで、Appleから情報を得ることは「非常に難しい」と同氏は語る。「『HackerOne』や『Bugcrowd』といった他のバグ報奨金プログラムの方が、反応が良く、双方向性がある」（同氏）

　コミュニケーションは改善されても、Appleによる一貫性のないパッチ提供は、依然として研究者が不満を抱く原因になっている。例えば最近発覚した2件の脆弱性「CVE-2022-22674」「CVE-2022-22675」のパッチに関して、Appleは批判の的になった。この脆弱性は既に攻撃者が悪用しており、Appleは「macOS Monterey」と、「iOS」「iPadOS」の複数バージョン向けのパッチを公開した。だが同社は2022年4月時点で、「macOS Catalina」および「macOS Big Sur」用のパッチは公開していない。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。