Appleは数々のマーケティングキャンペーンで、ユーザーのプライバシーとセキュリティを誇りにしているように見える。しかし、クパティーノに本社を置く同社とその従業員は、実際にこれらの価値観を、謳うほどに大切に、そして心から大切にしているのだろうか?
多くのAppleファンは、上記の質問にためらうことなく「はい」と答えるでしょう。あるいは少なくとも、Appleはこの分野で他のテクノロジー企業よりも多くの取り組みをしていると主張するでしょう。しかし、中にはそのような答えに反対し、全く異なる視点から、そしておそらく正当な理由から、主張する人もいます。
08Tc3wBBとの独占取材で、セキュリティ研究者からこの問題に関する貴重な見解を伺うことができました。特に普段Appleのマーケティング戦略を信じている方にとっては、この調査結果は全く新しい視点に目を開かせるかもしれません。
ご存知ない方のために説明すると、08Tc3wBBはハッカー兼セキュリティ研究者であり、AppleのOSにセキュリティ上の脆弱性を発見しては、たびたびニュースの見出しを飾っています。彼の最も有名な功績の一つは、Odysseyやunc0verといった脱獄ツールで使用されたエクスプロイトで、iOS 12および13の様々なバージョンを乗っ取ることに成功しました。最近では、iOS 15のゼロデイ脆弱性を発見したと発表しましたが、当面は公開する予定はありません。
その素晴らしい実績はさておき、本題に戻りましょう…
Appleのマーケティングはまさにマーケティングだ
Appleは、iOS、iPadOS、macOSを含む多くのプラットフォームのセキュリティを専用ウェブページで詳しく説明しています。ハードウェア自体、その上で動作するソフトウェア、厳選されたアプリやサービス、エンドツーエンドのデータ暗号化など、ユーザーのセキュリティを「最大限に高める」ために設計されたあらゆるセキュリティメカニズムを挙げています。
しかし、セキュリティ研究者がAppleに問題を報告した後、同社のオペレーティング システムが適切なタイミングで適切なセキュリティ パッチをすぐに受け取らないのであれば、こうした話はどれも意味をなさないのだろうか?
08Tc3wBBは、Apple はユーザーの安全を守るために真剣に取り組んでいるという考えを持っています。私も、ある程度はそれが真実だと考えていますが、ユーザーのセキュリティを向上させる高品質のバグ修正を奨励する社内慣行を確立すれば、Apple は利益を得られるという点では08Tc3wBBと私の両者が同意しています。
存在すべきではなかった脆弱性
今年10月、08Tc3wBBは、M1チップ搭載Macに影響を与える重大なカーネル脆弱性を報告し、Appleから52,500ドルの報奨金を獲得しました。この脆弱性が悪用された場合、攻撃者はデバイスのカーネルメモリへの読み書き権限を取得できる可能性がありました。このバグは5月に正式に修正されましたが、Appleが数ヶ月前にこの脆弱性を認識していたことは注目に値します。
エクスプロイトはほぼすべてのハードウェアとソフトウェアの組み合わせに存在するため、エクスプロイトの存在自体はそれほど大きな懸念事項ではありません。むしろ懸念されるのは、08Tc3wBBがM1ベースの脆弱性の大部分を、2017年半ばにZimperiumブログに投稿された記事で議論された詳細に基づいて巧みに構築した点です。
Adam Donenfeld 氏が執筆したブログ記事には、AppleAVE と呼ばれるあまり知られていないドライバーモジュールに関連する少なくとも 7 つの異なるカーネルレベルのバグが詳細に記述されている。このモジュールは、何らかの理由で「基本的なセキュリティ基盤を無視しており、その脆弱性はカーネルを乗っ取り、任意の読み取り/書き込みおよびルート権限を取得するのに十分な程度でした」。
Appleは後日これらの脆弱性を修正し、CVE ID番号を割り当てたとされています。これは通常、Appleが特定のソフトウェアアップデートに関する「…のセキュリティコンテンツについて」というページを公開する際に発生し、おそらく皆さんもiPhoneやiPadのソフトウェアアップデート直後にこのようなページを見たことがあるでしょう。
しかし、今回のケースでは、08Tc3wBBは、Appleが脆弱性を完全に修正するのではなく、サンドボックスを強化することで脆弱性を難読化しただけだと説明しています。2019年に新たなサンドボックス回避バグがリリースされ、これらの脆弱性へのアクセスが再び可能になった後、08Tc3wBBはその後、同じAppleAVEドライバモジュールに直接関連する多数の異なる脆弱性を報告しました。
08Tc3wBBは、難読化されたAppleAVEドライバモジュールに再アクセスして脆弱性を悪用することに成功した後、SSD Secure Disclosure、ZecOps、Appleなど様々な機関から総額315,500ドルの報奨金を獲得しました。Appleは最近のアップデートでようやくこのモジュールのセキュリティ実装の不備を修正しましたが、なぜこれほどまでに時間がかかったのでしょうか?
iOS 6のevasi0n脱獄ツールで悪用されたdyld重複セグメント問題を覚えている方なら、この状況に見覚えがあるかもしれません。このツールの脆弱性はiOS 9.2まで部分的にしか修正されていませんでした。iOS 6、7、8、そして9の時代を通して、evasi0n、Pangu、TaiGといったツールによって、脆弱性のロジックにわずかな修正を加えただけで、繰り返し悪用されました。これは、Appleの修正が後になってより真剣に受け止められるようになるまで効果がなかったために起こりました。
上記のパターンから点と点がつながり始めていますか?08Tc3wBB は確かに…
アップルはセキュリティ研究に関する士気を高めるよう努めるべきだ
これらの話から、次のような疑問が浮かび上がります。AppleAVE ドライバモジュールが当初から説明されているほど安全性が低かったのであれば、なぜ Apple のセキュリティチームは 2017 年に初めて公開された際に適切な対策を講じなかったのでしょうか。おそらくもっと重要なのは、Apple のセキュリティチームが正式に対応策を講じるまでに、なぜ AppleAVE ドライバモジュールに関するこれほど多くの脆弱性報告と数十万ドルの報奨金が必要だったのでしょうか。
Apple のセキュリティ チームのスタッフは秘密保持契約に縛られている可能性が高いため、一般の人々がこれらの質問の本当の答えを発見することは決してないかもしれませんが、08Tc3wBBは、動機がそれに大きく関係している可能性があるという印象を受けています。
なぜかと疑問に思うかもしれません。セキュリティ研究者がAppleのプラットフォームのバグを報告すると、世間から認められ、多額の報酬を受け取ることができます。しかし、 08Tc3wBBが指摘しているように、Appleのセキュリティチームのスタッフは、継続的な仕事に対して、実際には同じような評価、賞賛、インセンティブを受けていません。さらに残念なことに、どんな仕事でも同様ですが、厳しい締め切りが指揮系統の下まで伝わり、セキュリティチームのスタッフにプレッシャーをかけています。
ここからは人間の心理が働き、セキュリティチームの従業員が本来の力を発揮しようとしない理由が容易に理解できます。Appleの現在のシステムでは、短期間で「十分な」修正を行うことが奨励されており、Appleは「何か対策を講じた」とアピールできますが、これはエンドユーザーにとって何のメリットもありません。
直接的な結果として、ユーザーは低品質で手間のかからないソフトウェアパッチを受け取ることになり、攻撃手法を変えようとする熱心なセキュリティ研究者によって容易に繰り返し悪用されてしまいます。適切なインセンティブが与えられたシステムであれば、ユーザーはハッカーが回避するのがはるかに困難な、綿密に考えられたセキュリティパッチを受け取ることができるでしょう。
これはいつか変わるのでしょうか?
Appleはユーザーのデータの安全を守るためにあらゆる努力をしていると信じていた人にとっては、現実は確かに厳しいものとなるでしょう。しかし、08Tc3wBBは、Appleがセキュリティチームのスタッフにも、脆弱性を発見した人と同じレベルの評価、賞賛、そしてインセンティブを与えれば、状況は変わる可能性があると考えています。結局のところ、セキュリティ脆弱性の猛攻に絶えず時間と労力を費やして対抗しているのは、まさにセキュリティチームのスタッフなのです。
08Tc3wBBはさらに、Apple は脆弱性の修正プロセスについて、特に脆弱性を報告するセキュリティ研究者に対して、より透明性を高めることができるし、そうすべきだと述べました。
現在、Appleはバグ報告者に対し、バグ修正計画に関するフィードバックを提供していません。しかし、そうすべきです。なぜなら、発見したバグを効果的に修正する方法について貴重な視点を提供できるのは、セキュリティ研究者自身であることが多いからです。
結論
Appleのマーケティング戦略から、同社が他の多くのテクノロジー企業よりもセキュリティを真剣に受け止めていることは明らかです。しかし、@08Tc3wBBの観察によると、Appleの現在のバグ修正システムにおける最大の弱点は、士気の低さにあるようです。
この問題を解決するために、Appleは社内のソフトウェアセキュリティ担当者の士気を高める取り組みを強化すべきです。満足のいくバグ修正をタイムリーに実施した場合に報奨金を与えるようなインセンティブを設けるべきです。これには、外部のセキュリティ研究者と協力してセキュリティパッチの品質向上に努めることや、この実現に尽力したすべての努力を正当に評価することなどが含まれるでしょう。
08Tc3wBBさんとの議論は実に示唆に富むものでした。Appleがこれらの懸念に対処するための有意義な方法、それも単に有意義な方法であるだけでなく、正しい方法を見つけてくれることを心から願っています。あなたもそう思いませんか?この件について、下のコメント欄であなたの考えを共有してください。
