Havebin

Vision

コメント:iOS 9.3.5のセキュリティ修正に関するAppleのジレンマc

Havebin
qlamk
0 Comments
コメント:iOS 9.3.5のセキュリティ修正に関するAppleのジレンマc
コメント:iOS 9.3.5のセキュリティ修正に関するAppleのジレンマc

Appleのエコシステムの大きな利点の一つは、非常に安全な環境であることです。例えばOS X(まもなくmacOSになります)を例に挙げましょう。OS Xを標的としたランサムウェアが初めて実環境で確認されたのは今年初めで、大きなニュースとなりました。Macを標的としたマルウェアは他にも存在しますが、個々の事例がニュースになるほど稀です。そして、そのほとんどは、ユーザーが不明なソースからソフトウェアをインストールするなど、無責任な行動を取らざるを得ないものです。

これを Windows と比較してみましょう。BBC は、Windows では、流通しているウイルス、ワーム、トロイの木馬の数が 2008 年にはすでに 100 万件を超えたと報告しています。これは多少誇張されているかもしれませんが、ほとんどの情報源では、その数は 6 桁であることに同意しています。

iOSはさらに安全なプラットフォームです。確かに、iPhoneを脱獄すればすべてが台無しになり、エンタープライズ証明書を使ってiOSデバイスに怪しいアプリをインストールする方法もあります。しかし、これら2つの要素がなければ、iOSマルウェアの最初の例が発見されたのは今年になってからでした…

だからといって、iOSが完璧だということにはならない。人間が作ったシステムには必ずセキュリティ上の欠陥があり、iOSにもそれが存在している。ある民間企業がFBIのためにサンバーナーディーノのiPhoneに侵入できたのは、文書化されていない欠陥、つまり「ゼロデイ脆弱性」を利用したからであり、だからこそ、ブラックハット企業がAppleよりも高い価格でゼロデイ脆弱性を手に入れようとするのだ。

しかし、iOSで発見された脆弱性の大部分は、非常に限定的なアクセスしか提供しない、極めて無害なものです。ほとんどの場合、ホワイトハットセキュリティ研究者が脆弱性を発見し、Appleに報告した後、AppleがiOSのアップデート版をリリースして脆弱性を修正するまで、詳細を世界に公開しません。

しかし、時折、非常に深刻な欠陥が発見されることがあります。今回まさにそれが起こりました。iOS 9.3.5で修正された脆弱性は、リンクをクリックするだけで攻撃者がiPhoneを完全に制御できるほど深刻なものでした。実質的には、本人に気づかれることなく、遠隔操作でiPhoneを脱獄できる手段でした。これ以上深刻なことはありません。

しかし、技術に詳しくない人はほとんどこの問題に気づいていません。iPhoneやiPadのユーザーのほとんどは、前回アップグレードした時の最新バージョンのiOSを使い続けています。誰も彼らの肩を叩いて「iOSのドットリリースは大したことないのは分かっているけど、今回は本当にすごいよ」と言ってくれる人はいません。

Appleはこの問題について驚くほど沈黙を守ってきた。確かに「重要なセキュリティアップデート」と説明はしているものの、サポートサイトに後日追加されたセキュリティ情報でさえ、この問題についてはっきりと言及しているわけではない。修正された3つの問題の中で最も深刻な問題は最後に記載されており、「悪意を持って作成されたウェブサイトにアクセスすると、任意のコードが実行される可能性がある」という簡潔な一文でしかない。

Appleはアップデートの重要性をあまり強調せず、技術に詳しくない顧客にも周知徹底させようともせず、顧客のセキュリティよりもPRを優先していると非難するのは簡単だ。しかし、現実はAppleにとって勝ち目のない状況にある。

ジレンマとは、まさにこのことです。脆弱性について知っている人はほとんどいませんが、悪意のある人物もその脆弱性を悪用しようと躍起になっています。Appleがこれを大々的に宣伝すれば、顧客はそれを知ることになり、多くのユーザーがすぐにアップデートするでしょう。しかし、悪意のある人物も同様に知っており、彼らはそれを悪用しようと躍起になるのです。

Appleのアプローチが正しいか間違っているかは、それぞれの視点で判断できる。どちらの立場からも議論の余地はあるだろう。しかし、簡単な答えはない。どちらのアプローチにもリスクは伴う。黙っていれば、アップデートするまで多くの顧客が危険にさらされる。一方、騒ぎ立てれば、より多くの犯罪者や怪しい政府がこの欠陥を悪用するだろう。

黙っておく方が良いという意見に賛同するなら、この記事を書くべきではなかったとも言えるでしょう。しかし、私の見解としては、iOSの脆弱性に特に注意を払っている人たち(私たちが知りたくない人たち)は、この時点で既に十分な数の脆弱性に気づいているはずです。そうでないのは、アップデートを怠っている、技術に詳しくないiPhoneユーザーです。

まだアップデートしていない方は、ぜひアップデートしてください(最新のiOS 10ベータ版でも大丈夫です)。そして、テクノロジーに詳しくない友人にもアップデートしてもらいましょう。魔法のランプから精霊が出てきたようなものですから。

写真: iUpdateOS、Crafty.se、EverythingApplePro。この記事はZac HallとGreg Barbosaの議論によって促進されました。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like