脆弱性を放置するAppleに高まる批判──同社の反論は？：Appleの残念な歴史

macOSに脆弱性があることを知りながら、Appleはそれを放置している。Catalina／Big Surユーザーは危険にさらされている。本件についてAppleに問い合わせてみたが……。

[Alex Scroxton，Computer Weekly]

　Appleが「macOS Monterey」と「iPhone」「iPad」に潜む2種類のゼロデイ脆弱（ぜいじゃく）性に対処するパッチをリリースした。だが「macOS Catalina」（2019年10月7日リリース）と「macOS Big Sur」（2020年11月12日リリース）用のアップデートは提供しておらず、それによって同社は批判を浴びている。

　2種類のゼロデイ脆弱性とは、「Intel Graphics Driver」の脆弱性「CVE-2022-22674」と「AppleAVD」の脆弱性「CVE-2022-22675」だ。これらの脆弱性を放置するとカーネルが無防備になる可能性があり、最悪の場合は端末が攻撃者によって完全に掌握される。

　Appleユーザー向けセキュリティサービスサプライヤーIntegoのジョシュア・ロング氏（主任セキュリティアナリスト）は言う。「盛んに悪用されている脆弱性のパッチをCatalinaとBig Surに適用しなかったのは、Montereyのリリース以来初めてだ。以前に悪用されていた3つの脆弱性のパッチはCatalina／Big Sur／Montereyに同時に適用された」

CatalinaとBig Surは安全なのか？

iStock.com/OZANKUTSAL

　ロング氏によると、今回のパッチをリバースエンジニアリングしたところBig SurにはCVE-2022-22675の脆弱性があるが、CatalinaにはAppleAVDが使われていないためこの脆弱性はないことが分かった。CVE-2022-22674はCatalinaにもBig Surにも含まれる可能性があるが、現在確認中だという。

　「CVE-2022-22674はCatalinaにもBig Surにも影響する可能性が高い。Intel Graphics Driverの近年の脆弱性はほぼ全て、macOSの全バージョンに影響している」

　CatalinaとBig Surを実行するMacは現インストールベースの35〜40％を占めると思われるとロング氏は言う。ただしこの比率は正確ではない。AppleはWebブラウザのユーザーエージェント設定でmacOSのバージョンを区別しておらず、部外者がバージョンを見分けるのは非常に困難だからだ。

　CatalinaとBig Surにパッチを適用しないという決定は、Appleのこれまでの対応とは異なる。これまではmacOSの最新バージョンと2つの前メジャーバージョンにはパッチを同時にリリースしてきた。だがAppleはパッチの方針を秘密にしていることで有名だ。

　今回の問題は、macOSの他のバージョンにも恐らく影響するとロング氏は付け加える。Montereyリリース前の2021年にIntegoが行った調査では、Appleがパッチを適用した400件を超える脆弱性の48％はサポート対象の3バージョン全てのmacOS（当時は「Mojave」、Catalina、Big Sur）で解決された。だが34％はCatalinaとBig Surだけにパッチが適用され、Big Surにしかパッチが適用されなかったケースも16％あった。公開時に盛んに悪用されていたゼロデイ脆弱性に絞れば、この比率は全て上昇する。

　「Appleには、『サポート対象のバージョン』であるmacOSの脆弱性が悪用されているのを知りながら放置したという残念な歴史がある。ベンダーがパッチをリリースしないことに決めたこの手のシナリオは、『永遠のゼロデイ』と呼ばれる」とロング氏は語る。

　一般ユーザーがMacの安全性を可能な限り確保する唯一の手段はMontereyにアップグレードすることだ。だが、互換性の理由（https://support.apple.com/ja-jp/HT212551）でそれが不可能なユーザーも多いだろう。「AppleはまだCatalinaとBig Surのパッチをリリースしている。直近では（訳注：原文公開時の）わずか3週間前の2022年3月15日にパッチをリリースしているため、こうした事実を一般ユーザーが知ることは決してないだろう。ほとんどのユーザーには、CatalinaとBig Surのパッチ適用が不完全であることは分からない」

　数カ月前にも、Appleはセキュリティ専門家に批判されている。Appleのバグ報奨金制度への不満を募らせた複数のホワイトハッカーがAppleに対応を迫るため、発見した脆弱性の公表を検討していると発表したのだ（2021年10月）。

　iOSの3つのゼロデイ脆弱性をAppleに報告したある研究者は、自分の功績が適切に認められていないと批判している。TechTargetのインタビューに対して、バグの報告書が承認もトリアージもされず、報奨金が支払われなかったこともあると答えた研究者もいる。

　英Computer Weeklyは、状況の認識を深め、反論の機会を設けるためにAppleに問い合わせたが、本稿（原文）執筆時点でまだ返答はない。