情報セキュリティカンファレンスで知られるBlack Hatが、今年の米国イベントの「iOSセキュリティの舞台裏」ビデオを公開しました。Ivan Krstic氏が司会を務めるこの講演では、iOSに現在存在するセキュリティ対策と、Appleがユーザーのセキュリティを確保するために行っている取り組みについて詳しく説明されています。この講演では、Appleが初めてセキュリティ報奨金プログラムを導入した場も設けられました。

今年はAppleにとってセキュリティにとって重要な年でした。iOSの暗号化方式をめぐり、広く報道されているサンバーナーディーノ事件で提訴されたことや、App Storeで配信されるすべてのアプリにHTTPS接続を必須化する取り組みなど、セキュリティがAppleの議論の最前線にあることは明らかです。バグや脆弱性は依然として存在しますが、Appleは可能な限り迅速に解決しようと努めています。

つい最近、AppleのiOS 9.3.3で脆弱性が悪用され、ユーザーがデバイスの脱獄（ジェイルブレイク）を行う可能性があることが判明しました。多くの脱獄ユーザーは、これらの脆弱性をiOSを好きなように実行できる可能性として公然と受け入れていますが、Appleは依然としてこれらの脆弱性を、本来存在すべきではないソフトウェアの脆弱性として捉えています。Panguが脱獄ツールをリリースして間もなく、AppleはIOMobileFrameBufferの脆弱性を修正したiOS 9.3.4をリリースしました。

このようなソフトウェアの脆弱性は、Appleが顧客のセキュリティをより確実にするために特に警戒している脆弱性であり、サンバーナーディーノの裁判でもAppleが頻繁に取り上げた問題の一つです。Appleは 、iOSデバイスの暗号化を回避する方法を導入・公開すれば、想像もつかないような方法で悪用される可能性があると考えていました。しかし、FBIは他の手段を講じることをやめず、必要な脆弱性に対して100万ドル未満を支払ったと報じられています。

Appleが初めてセキュリティ報奨金プログラムを導入したのは、FBIの訴訟をめぐる騒動を直接的に受けた結果と言えるでしょう。Appleは、脆弱性を「悪意ある者の手に渡る」よりも、最初に発見した人に報奨金を支払うことに積極的です。

「iOS セキュリティの舞台裏」の講演によると、Apple の脆弱性に対する賠償金は 25,000 ドルから 200,000 ドルの範囲で、これまで噂されていた「100 万ドル未満」という数字よりはるかに少ないようです。

講演の基調講演の PDF はここからダウンロードできます。ビデオは下記に埋め込まれています。

画像クレジット: Ivan Krstic氏による基調講演「iOSセキュリティの舞台裏」

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。