Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。
Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に対する、セキュリティ研究者のブランドン・ペリー氏の評価は、ある程度にとどまる。セキュリティコンサルティング企業Atredis Partnersのプリンシパルリサーチコンサルタントを務めるペリー氏は「自分が報告した脆弱性はどうなっているのか」をAppleに繰り返しメールで尋ねた。にもかかわらずAppleからは「何週間たっても返答がない」と、同氏は2022年2月にミニブログ「Twitter」で述べた。
ペリー氏が報告した脆弱性は、Appleが提供する音楽制作アプリケーション「GarageBand」「Logic Pro」に関するものだ。同氏はこれらの脆弱性の詳細を、自身のブログで公表している。同ブログによると、同氏はAppleに38件の問題を報告し、Appleはそのうち2件を「CVE-2022-22657」「CVE-2022-22664」という脆弱性だと判定した。これらの脆弱性を同氏がAppleに報告したのは2021年12月のことだ。
Appleがペリー氏に状況を説明したのは、同氏がTwitterで先述の発言をした直後だった。同氏の名は、2022年3月に同社が公開したセキュリティアップデートに記載されている。脆弱性が修正されるまで、Appleから情報を得ることは「非常に難しい」と同氏は語る。「『HackerOne』や『Bugcrowd』といった他のバグ報奨金プログラムの方が、反応が良く、双方向性がある」(同氏)
コミュニケーションは改善されても、Appleによる一貫性のないパッチ提供は、依然として研究者が不満を抱く原因になっている。例えば最近発覚した2件の脆弱性「CVE-2022-22674」「CVE-2022-22675」のパッチに関して、Appleは批判の的になった。この脆弱性は既に攻撃者が悪用しており、Appleは「macOS Monterey」と、「iOS」「iPadOS」の複数バージョン向けのパッチを公開した。だが同社は2022年4月時点で、「macOS Catalina」および「macOS Big Sur」用のパッチは公開していない。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
