セキュリティ専門家が思わず感謝 Appleの脆弱性に対する“あの行動”とは？：データ流出を招く「iOS」「macOS」脆弱性の正体【後編】

Apple製品の脆弱性を発見し、報告したセキュリティベンダーTrellixは、その後のAppleの行動を高く評価した。脆弱性への対処に「及び腰だ」との声もあるAppleは今回、どのように脆弱性に向き合ったのか。

[Alex Scroxton，TechTarget]

　データ流出を引き起こす恐れのある脆弱（ぜいじゃく）性「CVE-2023-23530」「CVE-2023-23531」が、AppleのOS「iOS」「macOS」に見つかった。セキュリティ専門家からは「Appleは自社製品の脆弱性が報告されても、なかなか腰を上げない」との声が上がることがある。今回、同社はどのように脆弱性に対処したのか。

セキュリティ専門家がAppleに“異例の感謝”の裏事情

併せて読みたいお薦め記事

連載：データ流出を招く「iOS」「macOS」脆弱性の正体

• 前編：「iPhoneの場所も通話履歴も丸見えにする脆弱性」とは何だったのか

Apple製品を巡るセキュリティリスクとは

• Apple Payに不正決済の脆弱性　「AppleにもVisaにも責任」と専門家が語る理由
• iOS 16公開を急いだか？　専門家が見る「Apple脆弱性“多発”のなぜ」

　CVE-2023-23530およびCVE-2023-23531は、Apple製デバイスのユーザー企業に「多大なセキュリティリスクをもたらす可能性があった」と、セキュリティベンダーTrellix（Musarubra US）のシニアリサーチャー、オースティン・エミット氏は指摘する。Trellixの報告を受けて、AppleはiOSとmacOSのアップデートを提供し、CVE-2023-23530とCVE-2023-23531を修正した。「Appleは迅速に脆弱性を修正した」とエミット氏は評価。「迅速な対処に感謝している」と述べる。

　「ベンダーは、ソフトウェア開発のさまざまな段階でセキュリティを考慮し、可能な限り多くの脆弱性を発見して修正しなければならない」。EDA（電子機器の設計自動化）ベンダーSynopsysの研究部隊Cybersecurity Research Center（CyRC）グローバルリサーチ責任者、ジョナサン・クヌーセン氏はこう指摘する。ただしクヌーセン氏は「どれほどセキュリティに注力しても、ベンダーが脆弱性を完全になくすことは難しい」と言い添える。

　ソフトウェアの公開後、セキュリティ研究者が脆弱性を発見し、ベンダーに報告することがある。その場合、ベンダーには迅速な対処が求められる。

　Appleなどの主要ベンダーは、セキュリティ研究者に対してバグバウンティ（脆弱性報奨金制度）を提供し、脆弱性の報告を促している。「セキュリティ研究者の力を借りることは、ベンダーがソフトウェアの安全性を高める上で非常に重要な取り組みだ」とクヌーセン氏は主張。CVE-2023-23530およびCVE-2023-23531に関するTrellixとAppleのやりとりは「有益な情報交換だった」と評価する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。