SSLバグのタイミングがAppleとNSAに関する陰謀論を煽る

皆さんはおそらく、iOS と OS X で発見された SSL バグについてすでに耳にされていることでしょう。Apple は金曜日にこのバグを修正する iOS アップデートをリリースしましたが、当時は大したことではないように思えましたが、その後、これは極めて深刻なセキュリティ上の欠陥であることがわかりました。

この脆弱性により、Appleデバイスは中間者攻撃（man-in-the-middle attack）の脅威にさらされることになります。中間者攻撃とは、悪意のあるプログラムが信頼できるウェブサイトを装い、通信を傍受したりマルウェアを注入したりする攻撃です。この脆弱性の存在は、AppleとNSAに関する陰謀論を助長しています…

Daring Fireballのジョン・グルーバー氏は、今週末、興味深いツイートや投稿をいくつか紹介し、最近発見されたSSLバグと、AppleとNSAの関与の噂との関連性を指摘し始めました。かなり突飛な情報なので、ご安心ください。

SSL脆弱性はiOS 6.0で発生したことを確認しました。5.1.1には存在せず、6.0には存在します。/cc @markgurman

— ジェフリー・グロスマン (@Jeffrey903) 2014年2月22日

ジョンが指摘するように、iOS 6は2012年9月下旬にリリースされました。興味深いことに、エドワード・スノーデンが昨年夏にリークしたスライドには、Appleがちょうどその時期にNSAのPRISMプログラムに参加したと記されていました。偶然でしょうか？もしかしたらそうかもしれません。しかし、彼はその意味について次のように推測しています。

誰がファイルにその偽のコード行を追加したのかを知るのは確かに興味深いでしょう。陰謀論的に考えると、NSAが社員のスパイを通してバグを仕掛けたと考えることもできます。無害なオッカムの剃刀の理論によれば、これはAppleのエンジニアの不注意によるエラーだったということになります。  […]

一度バグが仕込まれてしまえば、NSAはソースコードを手作業で読んでバグを見つける必要すらなかったでしょう。必要なのは、偽造証明書を用いた自動テストを、各OSのリリースごとに実行することだけでした。AppleがiOSをリリースすると、NSAの自動偽造証明書テストによって脆弱性が発見され、あっという間にAppleはPRISMに「追加」されてしまうのです。

繰り返しますが、これらはすべて状況証拠と推測に基づくものであり、AppleはNSAのプログラムへの関与を何度も強く否定しています。しかし、このタイミングは奇妙であり、なぜこれほど深刻なバグが1年以上も発見されなかったのか疑問に思います。

AppleのSSLバグは本当に二重の顔面蒼白だ。わざとやったんじゃないかと思う人もいるかもしれない🙂 pic.twitter.com/f9Fy3iD7cy

— ニキアス・バッセン (@pimskeks) 2014 年 2 月 22 日

@DarkMalloc 何もしない人だけが間違いを犯さない。今回の惨事は不運か妨害行為のように思えますが、Appleの意図的なものではありません。

— pod2g (@pod2g) 2014年2月23日

結局のところ、重要なのは脆弱性が発見され、修正されたことです。iOSをお使いの方は、こちらからiOS 7.0.6の修正プログラムをダウンロードできます。アップデートしたくない場合は、こちらの手動修正プログラムをダウンロードしてください。Appleは現在、OS Xユーザー向けの修正プログラムを開発中とのことです。

それで、このAppleとNSAの件には真実が含まれていると思いますか？それとも、すべて中身のない陰謀論なのでしょうか？