11/05/2014

[IT biz] Appleの製品・サービスに相次ぐ致命的脆弱性

広範囲にセキュリティ上の深刻な被害を及ぼしたBash脆弱性の件も未だ完全には終息していないところに、同レベルの脆弱性が指摘されたそうです。対象は"Yosemite"ことOSXの最新版10.10。旧バージョンについては調査中とのこと。通称は"Rootpipe"で、その名の通り認証プロセスをすっ飛ばしてルート権限を取得出来る、最悪レベルの脆弱性ですね。

発見者のスウェーデン人技術者Emil Kvarnhammarが、寛容にも公表を控える旨のAppleからの要求を受け入れたために、来年(2015)1月中旬までは一応模倣による攻撃は抑制される見込みではあります。が、数多いる攻撃者の強力な解析力の前には気休めにしかならないでしょう。むしろ、bashの件の直後につき同様の致命的な脆弱性を探していた向きは少なくなかっただろうし、その大半にAppleに事前報告する理由も益も無い事を考えれば、既に知っていた者がいても全く不自然ではないわけです。仮にEmilが第一発見者だとしても、こういう脆弱性がある、という事実が知れた時点で当たりもついて発見は容易でしょうし。

ともあれ。このレベルの脆弱性を連発した、というのでは流石に擁護しようがないし、Apple製品のセキュリティ周りは以前のMS以上に終わっている、と評価せざるを得ません。

で、それだけでも酷い話なんですが・・・問題のYosemite、密かにユーザーのデータをiCloudに自動アップロードもするんだそうで。バックアップ機能の一つに、編集中の各種データを自動セーブしておく機能があって、従来はオプション扱いだったのがYosemiteになって密かにデフォルトでONになる設定に変更されたんだとか。何でこのタイミングでそんな事するの、と。

元よりこの種の機能は脆弱性に直結する可能性が非常に高いところ、このようにユーザーの管理外で常時有効に設定されているような場合は、それだけ攻撃に晒されやすくかつ事実上管理がなされないためにとりわけ極めて危険なわけです。bashやRootpipeの件を別にしても、iCloud自体が大量の情報流出をやらかして、プライベート写真を流された芸能人らが訴訟も起こしているところにこれ、もうユーザーの情報を保護する気が無い、というよりわざと漏らそうとしてるとしか思えません。

もっとも、その辺の杜撰なやり方自体は別段目新しいものではなく、むしろAppleとしては一貫しているとは思うのですが・・・そんな事でこの先やっていけるんでしょうか。というより、やってほしくないと思わされてしまうのです。

周知の通り、これまでAppleは、少なくともセキュリティ関連については一貫して傲慢な振る舞いを続けて来ました。深刻な脆弱性を把握しても悉く漫然と放置し、時折まとめて、充分なのかも定かでない大量のパッチをリリースするだけ。懸念の声には、"問題ない"とだけ返答して後は無視するのが通例だったわけです。

これまでは、その立ち位置自体が比較的マイナーで、またMSがあまりに酷かったために、その影に隠れる事でAppleのあれこれも見過ごされて来ましたが、ここ数年で状況は変わりました。OSXのシェアも拡大し、クラウドサービスのプッシュも進み、iOSやiCloud等のプロダクト・サービス間の連携を強めつつコンシューマ向けITサービス全般におけるシェアを確立した結果、その社会に対する責任は以前とは比較にならないほど大きくなりましたし、他社を引き合いにした責任回避も許されないポジションに立ってしまっている、と言えるでしょう。

それを理解しているのかいないのか。相次ぐ致命的な脆弱性の発覚、また情報漏洩の発生、そしてそれに対する対応の絶望的なまでの杜撰さ、緩慢さ。不合理な施策にサービス・機能間の不整合。Apple payの投入には、法人周りも含めた社会基盤的なカテゴリーへの進出を目指す意図が明白に見られる同社ですけれども、現状を鑑みるに、そもそもそのポジションに立つ資格に欠けるものと言わざるを得ないわけで。むしろ、適当好き勝手余計やって引っ掻き回した挙句にあっさり投げ出されたりしては堪らないし、それは御免蒙りたいところなのです。

Serious security flaw in OS X Yosemite 'Rootpipe'

Apple's OS X Yosemite slurps UNSAVED docs into iCloud

Report: Apple Knew of Security Problems Long Before iCloud Breach

[関連記事 [IT] bashに最悪の脆弱性発覚]

[関連記事 [biz] 内在する不備と矛盾、普及に躓くApple Pay]

[関連記事 [biz] iPhone6で不採用のSapphire GlassメーカーGT Advanced倒産]