デバイスを脱獄することで、ほとんどのユーザーは自分が何にさらされるのかを承知しています。Appleがセキュリティとプライバシーを守るために築いた壁を破る際、脱獄者は自らの運命を少数の人々の手に委ねます。基本的な原則を念頭に置いて行えば、脱獄は非常に安全です。例えば私は2008年以降、所有するすべてのiOSデバイスを脱獄していますが、今のところ何の問題にも遭遇していません。
用心深くなるには、まず脱獄したデバイスに何をインストールするか意識することが大切です。デフォルトのリポジトリのみを使用するのが良いでしょう。これらのリポジトリは、脱獄アプリや改造アプリをダウンロード前に分析する優れた機能を備えており、最終ユーザーの安全を最大限に確保しています。
しかし、悪意のあるTweakがCydiaのセキュリティホールをすり抜け、何百万人ものユーザーがダウンロードしてしまう可能性は常に存在します。100%安全なものはありませんが、最高レベルのセキュリティを確保するための安全対策を講じることは可能です。これがリポジトリのメンテナーの役割です。
Cydiaの2大デフォルトリポジトリの担当者に、ユーザーの安全をどのように確保しているのかを伺いました。2部構成のシリーズで、彼らの回答を公開します。まずは本日、BigBossのリポジトリメンテナーであるOptimo氏にお話をお伺いします。明日は、ModMyiのKyle Matthews氏にお話をお伺いします。
BigBossリポジトリのメンテナーOptimoがいくつかの質問に答えます
平均して毎週または毎月どれくらいの調整が提出されますか?そのうち、承認されるのはいくつですか?
参照できるデータは保存していません。調整、アドオン、アプリなどすべてを考慮すると、数百件の申請が処理されていると思いますが、そのうち数十件は毎月新規アイテムです。最も忙しい時期には、承認数とほぼ同数の却下を行うこともあります。基準を満たしていないアイテムを大量に選別しています。却下されたアイテムの中には、承認された後に再検討されるものもあります。
調整が BigBoss に送信され、リポジトリに追加されてから、この調整がリポジトリで公開され、ダウンロードできる状態になるまでのプロセスを説明していただけますか?
無料アイテムの提出は、ほとんどの場合、提出後1日以内に処理され、毎日リポジトリに追加されます。提出されたコンテンツに基づいて新しいパッケージが作成されます。提出されたアイテムのコンテンツは審査され、パッケージングガイドラインに適合するように詳細が整理されます。提出者は詳細を忘れたり、記入漏れしたりする傾向があるため、後日ご連絡いたします。アイテムの描写は調整され、新しいパッケージ情報がサーバーに同期されます。有料アイテムも同様のプロセスで処理されます。
私たちは定期的にTweak作成者と交流しています。新規開発者による初回投稿の多くは、詳細が不足していたり、明確化が必要な技術的なニュアンスが含まれていたりすることがあります。私の仕事の一つは、投稿者と協力して、公開するアイテム全体の品質基準を維持し、全員が同じ認識を持つようにすることです。新規開発者がガイダンスを受け、スキルアップに役立つ何かを学べることを願っています。楽しく魅力的な開発者コミュニティは、仲間とその作品への敬意といった共通の価値観、そしてコミュニティの責任ある一員となるよう努力する開発者の存在によって支えられています。
そのプロセスではどのような安全対策が講じられていますか?セキュリティスキャンについて明確な説明をしていただけると助かります。
重要なプロセスは、経験豊富なリポジトリメンテナーによる提出資料のレビューです。提出される可能性のある様々な種類のソフトウェアを慎重に処理します。半自動スキャナーの欠点の一つは、スキャナーに責任の一部を委ねる可能性があることです。私はより効果的な実践的なアプローチを好みます。必要に応じて、様々な開発ツールを用いて資料の検査を行うこともあります。
リポジトリの管理者またはプロセッサによる厳重な監視が行われていますが、App Storeの審査プロセスでさえも完璧ではないことをユーザーは心に留めておく必要があります。私たちは、公開されるソフトウェアの品質を一定レベルに保つことに常に努めています。つまり、説明どおりに動作し、奇妙な動作や予期せぬ動作をせず、ユーザーの利益を尊重することです。
一部の方が想定しているのとは反対に、リポジトリは私たちの監視によって第三者からの攻撃に対して100%確実な保護を保証するものではありません。そのような保証は一切できません。私たちは、インストールしやすいパッケージを提供することを目指しています。何か問題があれば、より詳しく調査し、作者に直接連絡して議論を開始し、saurik氏をはじめとする知識豊富な開発者からのフィードバックを求めます。
提出された内容に不自然な点や奇妙な動作が見られる場合、その特性について納得のいく回答が得られるまで、質問のために保留されます。可能な限り、提出者の方と情報を共有することは重要です。サードパーティ製ソフトウェアを使用する際は、私たち一人ひとりが自身のセキュリティに責任を持つべきです。コミュニティリポジトリのメンテナーは、アイテムを徹底的にレビューするよう努めていますが、受け入れて公開するアイテムのセキュリティ状態については一切保証いたしません。
一部の開発者はデフォルトでホワイトリストに登録され、承認プロセスが迅速化されるのでしょうか?それとも、レビュープロセスに関してはすべての開発者が同じレベルで行われるのでしょうか?
提出システムを通じて届いたアイテムはすべて平等かつ公平に扱われます。無料アイテムは当然のことながら、有料アイテムよりも早く公開されます。有料アイテムは公開前にCydiaストアへの登録が必要です。この質問がセキュリティの問題とどのように関連しているかは分かりませんが、新規提出はすべてほぼ同程度の審査を受けています。
悪意のあるパッケージはどのくらいの頻度で検出されますか?何らかの傾向があるのでしょうか?それとも、何年も比較的安定しているのでしょうか?
私たちは皆、ある意味で幸運です。長年にわたり、私たちのコミュニティは不正行為者の標的になることはあまりありませんでした。ここ数年とごく最近、いくつか注目すべき例外はありましたが、提出されたアイテムの中に疑わしいものや危険信号があるものを発見し、永久に保留または拒否されることがあります。そうしたアイテムはリポジトリに追加されないことも少なくありません。
リポジトリのメンテナーは長年にわたり職務を全うし、疑わしい点や客観的に見てユーザーのデバイスに危険をもたらす可能性のある点を見逃さないよう努めてきました。ただし、こうした問題は悪意によるものではなく、開発者の無意識のミスによるものの方が多いです。プラットフォームの人気が高まるにつれて、この傾向はさらに悪化する可能性があります。もちろん、自分自身とデバイスのセキュリティを確保するためにどのような選択肢があるのか、常に確認しておくことは重要です。
最近公開された例外は、脱獄プラットフォームの中国部分を標的とし、ユーザーの個人情報やデバイス情報を転用しようとしたものとみられています。これは公に認識されました。軽視すべきではありませんが、このマルウェアの出所はデフォルトのコミュニティリポジトリではなく、サードパーティのソースでした。悪意のあるパッケージがリポジトリに投稿されることは稀です。
7月に、トロイの木馬を含んだLock Saver FreeというTweakがModMyiリポジトリに追加されました。同じような状況に遭遇したことはありますか?もしそうなら、どのように発生しましたか?原因を突き止めて対策を講じるまでにどれくらいの時間がかかりましたか?再発防止のためにどのような対策を講じましたか?
以前、コミュニティで発生したあるインシデントでは、同じ開発者によって2つの最大規模のリポジトリに複数のアイテムが投稿されていました。このソフトウェアはユーティリティとして設計されていましたが、ユーザーのホーム画面に広告を挿入することで開発者に収益をもたらすようにプログラムされていました。残念ながら、これらの改造の一部にはこうした手法が含まれていましたが、数ヶ月間ほとんど気づかれずに放置されていました。ユーザーからの報告を参考に調査した結果、これらのアイテムは削除されました。これらの広告挿入ソフトウェアの詳細については、こちらをご覧ください。
奇妙な広告関連コンテンツを含むパッケージについて、新たなポリシーを策定する必要があるかどうか検討しました。ホーム画面に広告が挿入される問題は、当該調整申請において開示されておらず、審査でも見落とされていました。報告が裏付けられ、詳細が確認されると、リポジトリは問題の項目を削除し、申請者を叱責しました。しかし、この変更によって生じた広範な混乱と注目は、その魅力と有用性を上回り、歓迎されない商品となってしまいました。
これらの変更はトロイの木馬とでも呼ぶべきものでしたが、ユーザーの個人データを盗んだり転用したりする意図はなかったという点を明確にしておくことが重要です。広告の表示は一部のソフトウェアメーカーにとって収益源として一般的な方法であり、私たちも一般的には支持していますが、そこまでには至っていません。これは一線を越えた行為でした。確かに、この行為によってメーカーの手法が明るみに出てしまい、コミュニティの多くのメンバーが即座にブラックリストに登録しました。コミュニティの開発者が、問題のある仲間の行動を個人的に受け止め、意見を公に共有することがあるのは、良いことです。これは、開発者コミュニティの良い点をさらに強化するものであり、仲間に受け入れられることは強力なモチベーションとなります。これは、リポジトリ管理者からの叱責だけでは達成できないものです。
悪意のある改ざんが検出された場合はどのような手順が実行されますか?
レビューで問題が見つかった場合、または内容や動作に問題のあるパッケージの報告を受けた場合、苦情や症状の性質に応じて、作成者/提出者に通知を送信し、該当のアイテムをリポジトリからできるだけ早く削除します。また、saurikとBritta、そして他のデフォルトリポジトリを含むコミュニティメンバーにも通知し、問題のあるソフトウェアや提出者を認識できるようにします。そうすることで、誤って他のリポジトリに受け入れられることがなくなります。
BigBoss に提出された改造プログラムの中で、最もひどいマルウェアにはどのようなものがありますか?
広告を挿入する微調整ソフトは、最悪の「マルウェア」と言えるかもしれません。マルウェアとは、悪事を企てる意図を暗示するものです。ユーザーから盗むわけではないとしても、広告収入を盗むことは依然として悪質です。これらの例は、他の種類のマルウェアのようにユーザーやそのデータに脅威を与えなかったと主張する人もいるかもしれませんが、それでも歓迎されるものではありません。これらの広告挿入ソフトウェアについて詳しくは、こちらをご覧ください。
より頻繁に見られるのは、新人開発者による正直なミスです。彼らはまだ重要なテーマについて読んだり学んだりしていない、あるいはコミュニティが価値あると考える道徳観念を吸収していない可能性があり、それが提出物に反映されています。そのため、ユーザーにとって最善ではないことを行うパッケージ、パッケージングガイドラインに違反するパッケージ、あるいはある程度「間違ったこと」を行うパッケージについては、承認前に解決に努めます。多くの場合、これは提出者に連絡を取り、異議を申し立て、承認前に改善に向けて協力できるかどうかを確認することを意味します。
ジェイルブレイクされた iOS デバイスとジェイルブレイクされていない iOS デバイスの両方を標的とした既知のマルウェアのリストについては、このページをご覧ください。
先月、あなたのリポジトリが一定期間ダウンしていました。翌日にはModMyiのリポジトリもダウンしました。過去にはこのようなことは一度もありませんでした。これは単なる偶然だったのでしょうか、それとも運が悪かっただけではない何か理由があるのでしょうか?
両方のリポジトリにアクセスできなかったあの日は、おそらくサーバーでサービス拒否攻撃が発生したのでしょう。これはウェブサーバーを運用する上でよくあることです。たまに起こることもありますが、ここ数年は比較的そのような事態には遭遇していません。リポジトリが数時間利用できなくなった日は、予定外のメンテナンスが行われていたことを覚えています。残念ながら、かなりのダウンタイムが発生しました。本当に運が悪かったですね。
iOSの人気が高まり、中国などの国でも普及が進んでいる中で、iOSはハッカーにとってより標的になりやすいプラットフォームになっているとお考えですか?今後、iOS向けに開発される脱獄ツールのセキュリティ全般について、どのようにお考えですか?
中国で脱獄したユーザーの多くがハッキングされやすいという常套句は好きではありませんが、どうやら最近になってそうなったようです。おそらく、彼らが使用したソフトウェアが公開される前に綿密にチェックされていなかったことが原因でしょう。監視が不十分だったのかもしれません。iOSが中国に普及したことで、プラットフォームがより大きな標的になったのかもしれません。
マルウェアは特定の国籍に限ったものではありません。影響を受けたユーザーは、誤解を招いたか、あるいは監視が不十分なソフトウェア配布システムを信頼した可能性があります。iPhoneの普及は、一般的に脱獄ユーザーの増加を意味し、良質なソフトウェアではなく悪質なソフトウェアに手を出す趣味人にとって、ニッチな市場が増えることを意味していると考えられます。リポジトリのメンテナーは、コミュニティの成長に合わせて適応していく必要があります。何か疑わしいものを見つけた場合は、リポジトリのホストにお知らせください。
ユーザーは自身のデバイスのセキュリティを確保するために、ある程度の個人的な責任を負わなければならないと感じています。リポジトリはコミュニティを安全で秩序ある状態に保つために役割を果たし、最善を尽くしていますが、完璧なシステムではありません。リポジトリで公開されているすべてのアイテムにリスクがないと盲目的に受け入れると、油断している可能性があります。サードパーティ製ソフトウェアにはリスクが伴う可能性がありますが、これまでのところ、デフォルトのコミュニティリポジトリではインシデントの発生は非常に少ないです。デバイスセキュリティについて注意深く調査し、日々の利用におけるリスクを最小限に抑えるには、まずここから始めましょう。
他に何か言いたいことや明確にしたいことはありますか?
最大のTweakホスティングリポジトリのメンテナーとして、私は開発者コミュニティと緊密な連携を保ち、強固な協力関係を築くよう努めています。開発者たちがよく集まる場所、例えばTwitter、Reddit、IRCなどで彼らと会うようにしています。こうした協力関係は、リポジトリへの投稿よりもずっと前から築かれることがよくあります。この関係は私にとって非常に貴重です。多くの場合、私たちは彼らを正しい方向に導き、サードパーティソフトウェアとしての自由について健全な判断を下す手助けをしていると感じています。こうした問題に関する教育は、開発者からユーザーまで、関係者全員にとって有益です。リポジトリは、問題が発覚した場合、迅速に対応します。
最近、「マルウェア」に関する報告が社会的な懸念を呼んでいます。マルウェアというテーマは広範で、時に威圧的な印象を与えます。そして、その一部はモバイルプラットフォームにとって比較的新しいものです。私たちのコミュニティは最近まで、この問題への懸念とは比較的無縁でした。この点に関して今後どうなるかは不明ですが、デフォルトのリポジトリは引き続きコミュニティのために機能していきます。知識は力であり、自ら学ぶことはより安全につながります。質の高い情報は、例えば脱獄ユーザーに影響を与えるマルウェアに関する漠然とした報告を聞いた時など、誤解や不安を払拭するのに役立ちます。この問題について早急に結論を出す必要はありませんが、何か奇妙な体験をした仲間と共有したり、フォーラムに投稿したりすることで、私たち全員が迅速に学び、適応していくことができます。
デバイスが脱獄可能な場合でも、追加の設定を行わないと安全ではない可能性があります。脱獄の性質上、ソフトウェアの「セキュリティホール」が悪用され、それが広く知られるようになると、デバイスのセキュリティが低下する可能性があります。時間の経過とともに、セキュリティ研究者はiOSのセキュリティホールを発見し、Appleはセキュリティを修正するためにアップデートを行います。しかし、iOSのアップデートは多くの場合、脱獄を失うことを意味します。そのため、脱獄を維持することはセキュリティ上の妥協につながる可能性があります。セキュリティについて一般的に懸念があり、脱獄を維持したい場合は、デバイスとデータを必要に応じて安全にするための利用可能なオプションを調べて理解することをお勧めします。ソフトウェアの脅威や物理的なアクセスから個人用デバイスを保護するのに役立ちます。詳細はこちらをご覧ください。
