Apple製品の脆弱性を発見し、報告したセキュリティベンダーTrellixは、その後のAppleの行動を高く評価した。脆弱性への対処に「及び腰だ」との声もあるAppleは今回、どのように脆弱性に向き合ったのか。
データ流出を引き起こす恐れのある脆弱(ぜいじゃく)性「CVE-2023-23530」「CVE-2023-23531」が、AppleのOS「iOS」「macOS」に見つかった。セキュリティ専門家からは「Appleは自社製品の脆弱性が報告されても、なかなか腰を上げない」との声が上がることがある。今回、同社はどのように脆弱性に対処したのか。
CVE-2023-23530およびCVE-2023-23531は、Apple製デバイスのユーザー企業に「多大なセキュリティリスクをもたらす可能性があった」と、セキュリティベンダーTrellix(Musarubra US)のシニアリサーチャー、オースティン・エミット氏は指摘する。Trellixの報告を受けて、AppleはiOSとmacOSのアップデートを提供し、CVE-2023-23530とCVE-2023-23531を修正した。「Appleは迅速に脆弱性を修正した」とエミット氏は評価。「迅速な対処に感謝している」と述べる。
「ベンダーは、ソフトウェア開発のさまざまな段階でセキュリティを考慮し、可能な限り多くの脆弱性を発見して修正しなければならない」。EDA(電子機器の設計自動化)ベンダーSynopsysの研究部隊Cybersecurity Research Center(CyRC)グローバルリサーチ責任者、ジョナサン・クヌーセン氏はこう指摘する。ただしクヌーセン氏は「どれほどセキュリティに注力しても、ベンダーが脆弱性を完全になくすことは難しい」と言い添える。
ソフトウェアの公開後、セキュリティ研究者が脆弱性を発見し、ベンダーに報告することがある。その場合、ベンダーには迅速な対処が求められる。
Appleなどの主要ベンダーは、セキュリティ研究者に対してバグバウンティ(脆弱性報奨金制度)を提供し、脆弱性の報告を促している。「セキュリティ研究者の力を借りることは、ベンダーがソフトウェアの安全性を高める上で非常に重要な取り組みだ」とクヌーセン氏は主張。CVE-2023-23530およびCVE-2023-23531に関するTrellixとAppleのやりとりは「有益な情報交換だった」と評価する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
「モンスト」「ウマ娘」は安定 中華系パズルゲームに怒涛の勢いetc. 2024年のゲームアプリトレンド
AdjustとSensor Towerが共同で発表した「モバイルアプリトレンドレポート 2024 :日本版...
Xが「YouTube TV」と見た目そっくりなCTVアプリを公開 目玉コンテンツは?
動画ファーストのプラットフォームを目指すXが次なるステップを踏み出そうとしている。Yo...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年9月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...