検索
特集/連載

セキュリティ専門家が思わず感謝 Appleの脆弱性に対する“あの行動”とは?データ流出を招く「iOS」「macOS」脆弱性の正体【後編】

Apple製品の脆弱性を発見し、報告したセキュリティベンダーTrellixは、その後のAppleの行動を高く評価した。脆弱性への対処に「及び腰だ」との声もあるAppleは今回、どのように脆弱性に向き合ったのか。

Share
Tweet
LINE
Hatena

関連キーワード

Apple | セキュリティリスク | 脆弱性


 データ流出を引き起こす恐れのある脆弱(ぜいじゃく)性「CVE-2023-23530」「CVE-2023-23531」が、AppleのOS「iOS」「macOS」に見つかった。セキュリティ専門家からは「Appleは自社製品の脆弱性が報告されても、なかなか腰を上げない」との声が上がることがある。今回、同社はどのように脆弱性に対処したのか。

セキュリティ専門家がAppleに“異例の感謝”の裏事情

 CVE-2023-23530およびCVE-2023-23531は、Apple製デバイスのユーザー企業に「多大なセキュリティリスクをもたらす可能性があった」と、セキュリティベンダーTrellix(Musarubra US)のシニアリサーチャー、オースティン・エミット氏は指摘する。Trellixの報告を受けて、AppleはiOSとmacOSのアップデートを提供し、CVE-2023-23530とCVE-2023-23531を修正した。「Appleは迅速に脆弱性を修正した」とエミット氏は評価。「迅速な対処に感謝している」と述べる。

 「ベンダーは、ソフトウェア開発のさまざまな段階でセキュリティを考慮し、可能な限り多くの脆弱性を発見して修正しなければならない」。EDA(電子機器の設計自動化)ベンダーSynopsysの研究部隊Cybersecurity Research Center(CyRC)グローバルリサーチ責任者、ジョナサン・クヌーセン氏はこう指摘する。ただしクヌーセン氏は「どれほどセキュリティに注力しても、ベンダーが脆弱性を完全になくすことは難しい」と言い添える。

 ソフトウェアの公開後、セキュリティ研究者が脆弱性を発見し、ベンダーに報告することがある。その場合、ベンダーには迅速な対処が求められる。

 Appleなどの主要ベンダーは、セキュリティ研究者に対してバグバウンティ(脆弱性報奨金制度)を提供し、脆弱性の報告を促している。「セキュリティ研究者の力を借りることは、ベンダーがソフトウェアの安全性を高める上で非常に重要な取り組みだ」とクヌーセン氏は主張。CVE-2023-23530およびCVE-2023-23531に関するTrellixとAppleのやりとりは「有益な情報交換だった」と評価する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る