「古いmacOS」を使うのは“自己責任”？ 専門家がAppleのパッチ配布姿勢に苦言：Appleの脆弱性への姿勢に疑問の声【後編】

同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。

[Alexander Culafi，TechTarget]

　MalwarebytesでAppleのクライアントデバイス「Mac」およびモバイルデバイス分野の担当ディレクターを務めるトーマス・リード氏の説明によれば、AppleがクライアントOS「macOS Big Sur」における脆弱（ぜいじゃく）性「CVE-2021-30869」を修正してから約7カ月間、同社は以前のバージョンである「macOS Catalina」の同脆弱性を修正しなかった。CVE-2021-30869は、AppleのクライアントOS「macOS」が採用するカーネル（OSの中核プログラム）「XNU」の脆弱性だ。

　2021年4月開催のセキュリティカンファレンス「Zer0con」では、セキュリティ研究者がCVE-2021-30869を詳細に解説した。「それにもかかわらず、パッチは未配布のままだった」とリード氏は説明。「攻撃者は攻撃活動を検出されることなく、macOS Catalinaを利用する人を狙うことができた」と問題を指摘する。

　Appleは2021年2月にmacOS Big Surのバージョン11.2を公開した当初、CVE-2021-30869の修正をリリースノートに記載しなかった。CVE-2021-30869を修正したことをリリースノートに追記したのは、macOS Catalina向けのCVE-2021-30869修正パッチを公開した2021年9月だった。

古いmacOSを使うのは“自己責任”か　Appleへの不信感

　こうしたAppleの行動に対して、リード氏は「非常に不審に思う」と述べる。その理由についてリード氏は、以下の2つの可能性を挙げる。

• Appleは「CVE-2021-30869はmacOS Catalinaで修正する必要がある」ことを以前から知っていた
• Appleは「2021年2月に修正したmacOS Big Surの脆弱性と、CVE-2021-30869が同じだとすぐ見抜いた」ことを示唆しようとしていた

併せて読みたいお薦め記事

Appleの姿勢に対する反応

• iPhone「児童ポルノスキャン」計画で露呈したAppleの“見通しの甘さ”とは
• 脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
• Apple Payに不正決済の脆弱性　「AppleにもVisaにも責任」と専門家が語る理由

　「macOS Catalinaの修正が遅れたことは、『macOSの最新バージョンの修正に関してのみAppleを信頼できる』ということだ」とリード氏は話す。2021年11月時点で、macOSの最新メジャーバージョンは「macOS Monterey」だ。「あなたが古いmacOSを使っている場合、それは自己責任ということになる」と同氏は指摘する。

　Appleのセキュリティに関する動向は過去にもやり玉に挙げられた。米TechTargetがAppleに不満を抱える複数のバグハンター（脆弱性を探し出し、バグ報奨金プログラムに報告するセキュリティ研究者）に取材したところ、「Appleはコミュニケーションが不十分で、セキュリティ研究者を適切に評価していない」との批判があった。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。