2022年6月27日月曜日

Intyego Tips 〜Appleによる計画的陳腐化なのか: iOS 16およびmacOS Venturaは多くのモデルに非対応〜

 

Appleによる計画的陳腐化なのか: iOS 16およびmacOSVenturaは多くのモデルに非対応

(この記事は、2022年6月14日にKirkMcElhearn(https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/)によってMacSecurity Blogに投稿されたApple’s Planned Obsolescence: iOS 16, macOS VenturaDrop Support for Many Modelsの翻訳です)

「計画的陳腐化」という考え方は、100年くらい前から存在しています。自動車市場の飽和による販売不振に対応するため、GMが毎年新型車種を発売しようと決めたのが始まりとされています(
https://ja.wikipedia.org/wiki/%E8%A8%88%E7%94%BB%E7%9A%84%E9%99%B3%E8%85%90%E5%8C%96
)。もちろん、一般的な概念としてはそれ以前にも存在していました。ファッション業界では毎年デザイナが何を売るか決定し、そうして出てきた新しいデザインによって実は必要ではない新しい洋服を消費者に買わせようとしてきました。こうした考え方は、今では多くの業界に浸透しています。特に消費財、例えばコンピュータで顕著です。

電化製品について言えば、計画的陳腐化は技術の進歩とも関連しています。ジャンルによっては、新しい技術が目に見える新機能に直結しないこともあります。冷蔵庫、電子レンジ、CDプレイヤ、スピーカなどは、プロセッサの処理能力とほとんど関係がありません。なので何年経っても、大きな変化がありません。古くはなっていきますが、20年以上使われるキッチン家電も珍しくないでしょう。

しかしより高速なチップや新しいプロトコルの恩恵を常に受けているコンピュータでは、新しい機能を使うために製品をアップグレードしたいと考えるのもわかります。でもよく考えたら、ちょっと前の年代のiPhoneが最新iOSの機能に対応できないほど古臭くなってしまっているのか疑問もあります。例えば、最新iOSの一部の機能が使えなかったとしても、アップデートに対応さえしていればセキュリティパッチは適用し続けられるので、頻繁に製品を買い換える必要もなくなって、よりエコなんじゃないでしょうか。

世界一価値がある会社であるAppleは、その計画的陳腐化に対して、特にiPhoneに関して多くの批判(
https://www.firstpost.com/tech/news-analysis/apple-to-pay-consumers-3-4-million-in-a-lawsuit-over-programmed-obsolescence-of-iphones-in-chile-9507131.html
)、調査( https://www.bbc.co.uk/news/world-europe-42615378 )、そして訴訟(
https://9to5mac.com/2021/03/01/apple-lawsuit-portugal-planned-obsolescence/
)の標的になってきました。

先日発表された新しいオペレーティングシステムでもAppleはそれほど古いとは言えない多くの機種を対象から除外する予定ですが、これが新しい製品を買わせる目的だとしてまた批判されるでしょう。それは公平な意見でしょうか? 性急に結論に飛びつかないように、この問題をもう少し深く見てみましょう。

■多くの古いiPhoneがiOS 16に対応しません

iOS 16の対応機種が発表されましたが、AppleがiPhone
8より前に発売された全てのデバイスを対象外にしたことで多くのユーザがガッカリしています。Appleは2016年に発売したiPhone
7を、より新しいiPhone
8が登場した後も2019年9月まで廉価版iPhoneとして販売し続けました。ということは、販売が終了する直前にiPhone
7を買ったユーザは、たった3年前に買ったスマートフォンなのにもうアップグレードができないことになります。iPhone
6Sおよび6S Plusは、2018年9月まで販売されましたし、初代iPhone
SEも同様で、これらのデバイスもアップグレードできません。
https://www.intego.com/mac-security-blog/wp-content/uploads/2022/06/iphone-spreadsheet.png

最も驚きなのは、直近のiOS 13からiOS 15までの3個のiOSバージョンでは、変わらずiPhone
6Sまで対応していたという事実です。これらの旧型デバイスのユーザは、自分のスマートフォンを長く愛用できると感じていたことでしょう。誤解のないように書いておくと、6Sは2015年に発売されてから5年半後の2018年9月に販売終了したのですが、その後もiOSのアップグレードに対応したので合計で7年間とスマートフォンとしては長く使えた製品と言えるのです。

iOS
16に対応しないiPhoneのユーザは、その新機能が使えないことで落胆しているだけでなく、デバイスのセキュリティについて不安を持っています。iOS
15が公開された時、Appleはユーザが「重要なセキュリティアップデートを利用しつつ、一定期間はiOS
14を使い続けることもできます」としましたが( https://www.apple.com/jp/ios/ios-15/features/
)、この一定期間とは36日間だけだったのです。AppleがiOSおよびiPadOS
14(バージョン14.8.1)のために公開した最後のアップデートは2021年10月26日で、iOS
15が公開されてからわずか5週間後でした。

ちなみにAppleのiOS 15で利用できる新機能ページには、今でも「重要なセキュリティアップデートを利用しつつ、一定期間はiOS
14を使い続けることもできます」と書かれています( https://www.apple.com/jp/ios/ios-15/features/
)。
https://www.intego.com/mac-security-blog/wp-content/uploads/2022/06/Screen-Shot-2022-06-13-at-15.31.03.png

もちろん36日だって「一定期間」だと言い張ることはできるでしょうが、Appleにはこのような誤解を招く表現が多い気がします。この10月のiOS
14.8.1の公開時には、iOS 15の重要なセキュリティ上の脆弱性がパッチされたのですが、iOS
14については拡散していたゼロデー脆弱性を含む脆弱性に対して危険な状態のまま放置されたのです。

2022年5月の時点で、iPhoneの全ユーザの17%がiOS
14を使っていますが、もう自分のiPhoneには重要なセキュリティアップデートが提供されないという事実を意識してはいないでしょう(
https://gs.statcounter.com/os-version-market-share/ios/mobile-tablet/worldwide
)。

iOS 16が対応しないiPhoneの機種に関していうと、Appleがパッチしない危険には晒されたままになりますがiOS
15は使い続けられます。AppleがiOS 16を公開した後でもiOS
15をパッチし続けるか、パッチするとしてどこまで対応するのかは、いずれわかることです。ただし過去の例に照らし合わせるならば、Appleは以前のiOSバージョンの脆弱性を一切パッチしないと考えられます(
https://act2blog.blogspot.com/2022/06/apple.html )。

オペレーティングシステムの新機能というものが、より高速なプロセッサ、より大きなRAM容量、より大きなストレージ容量を必要とするのは事実ですから、Appleが特定のiPhoneの機種を対象から除外するのは自然なことです。しかし持続可能性と環境への負担軽減を標榜する会社であるAppleなら、ユーザが古いデバイスをもっと長く使い続けられるように努めるべきだとも思います。

■M1 iPadのステージマネージャ問題

iPhoneは毎年新製品が出るので、古いデバイスが徐々に対応リストから除去されていくのは当然のことかもしれません。しかし、iPadではそれほど頻繁に新製品が登場しません。ですので、iPadではiPhoneのように古いiPadがどんどん対応リストから除去されることはありません。実際、iOS
16に対応しなくなるiPadは、iOS 12に対応していた製品リストと比較してもiPad Air
2とiPad mini 4の2機種だけです。iPad Air 2はiOS
8を搭載して2014後半に登場したので、iPadの中で最も寿命の長い機種の一つです。iPad
mini 4はその翌年に発売されています。
https://www.intego.com/mac-security-blog/wp-content/uploads/2022/06/ipad-spreadsheet.png

興味深いのは、iPad(第五世代)とiPad(第六世代)は、iPhone 6SおよびiPhone
7とよく似たハードウェア構成であるにも関わらず、iPhoneの方はiOS 16に対応しないのにiPadの方はiPadOS
16に対応すると言うことです。

でも、iPadOS 16の売りの機能の一つはM1
iPadでしか使えません。iPadの先進のウインドウシステムであるステージマネージャは、iPad
ProおよびiPad Air(第五世代)でしか動作しないのです。現在も販売されているエントリーレベルのiPad(第九世代)やiPad
mini(第六世代)では使えません。現在も販売されているiPadで注目の機能が使えないという事実に対して、Appleユーザのコミュニティでは激しい議論が戦わされています。

Appleは「仮想メモリスワップを使用すると、iPadのストレージを使用して、すべてのアプリケーションで利用可能なメモリを拡張できる」とし、この機能には最新プロセッサが必要だと説明しています(
https://www.apple.com/jp/newsroom/2022/06/ipados-16-takes-the-versatility-of-ipad-even-further/
)。逆に言えば、この事実によりM1プロセッサが今後もiPadに登場する新機能に対応する鍵になることが予想できます。

少なくともiPadOS 16では、AppleはiPadOS
15に対応するほとんどのiPadでアップグレードを可能としました。Appleはそうした機種で特定の機能が使えなくてもアップグレードは可能としたのです。一方iPhoneでは、できるかできないかの二択です。

誤解のないように書いておくと、確かにiPadの機種より多くのiPhoneの機種が新オペレーティングシステムの対応リストから除外されていますが、対応する機種の中で最も古いiPhone
8、iPhone 8 Plus、そしてiPhone Xなどで使えないiOS 16の機能もかなりあります(
https://9to5mac.com/2022/06/07/ios-16-exclusive-features-iphone-xs-newer/
)。ですから、Appleが古い製品だからと言って何でもかんでも対応から除外してしまうわけでもありません(逆に、Appleが2020年まで廉価版として販売していたiPhone
8をiOS 16の対応リストから完全に除外していたら、また批判されたでしょう)。

■Macについて

今秋の登場が予定されているmacOS
Venturaでは、ここ最近のオペレーティングシステムに対応してきたたくさんの古いMacが対象外になります。
https://www.intego.com/mac-security-blog/wp-content/uploads/2022/06/mac-spreadsheet-1.png

まず2015年から2017年のMacBook
Airが対象外になるのが、大きな変化でしょう。Venturaは、2019年7月まで販売されていた2017バージョンも対象外としています。つまりmacOS
Venturaが公開される時、その販売時期の末期に購入された機種の3年間のAppleCare契約がちょうど期限切れになることを意味します。MacBook
Proも同様で、2017年の機種はほぼ同時期まで販売されていました。しかしMacにとって、3年はかなり短い寿命だったと言えるでしょう。

2013 Mac Proは、ちょっと異なります。Mac Proシリーズは、2019年12月まで新製品が発売されませんでした。現在のMac
ProはmacOS Venturaに対応しますが、この“ゴミ箱”型Mac
Proをその販売時期の末期に購入しているとするとVenturaが公開された時点でも3年間のAppleCare契約はまだ有効でしょう。“プロ”用Macと呼ばれるコンピュータが、販売終了から3年経たないうちにmacOSのアップデートから対象外になったら残念です(AppleがVenturaの公開時にはパッチされた脆弱性の全てをmacOS
Montereyでも同時にパッチしなければ、macOS
Venturaの公開時点でAppleCare契約がまだ有効なユーザから訴えられる可能性があります)。

Appleは、これまでのオペレーティングシステムでiPhoneやiPadに比べてMacに対してより多くのセキュリティパッチを公開していますが、それでオペレーティングシステムの既知のすべての脆弱性がパッチされたわけでもありません(
https://www.intego.com/mac-security-blog/integos-josh-long-speaking-at-obts-v4-0-mac-security-conference/
)。

AppleのMシリーズプロセッサのMacが将来のオペレーティングシステムにいつまで対応するのかも興味深いことです。多くのユーザにとってMシリーズプロセッサの能力は今後も長く使えるほど強力なので、私は約1年前に「永遠に使えるMac」と書きました(
https://www.intego.com/mac-security-blog/are-we-heading-towards-a-forever-mac/
)。しかし現実世界では、売上という問題があります。Appleは、こうしたMacもこれまで同様にどんどん対応から除外していくのでしょうか?

IntegoのチーフセキュリティアナリストであるJosh Longは、Appleがもうサポートしていない彼の15歳のiMac(Mid
2007)で現在のmacOSを実行しています(
https://act2blog.blogspot.com/2022/05/macos-montereymacmacos-monterey.html
)。つまり理論的に言えば、Appleは対応していない古いハードウェアでも、そのオペレーティングシステムを対応させることができるはずなのです。それはMacだけでなく、iPhone、iPad、そして他のApple製デバイス全般に言えることです

しかし、Appleは古いデバイスを重要なセキュリティやプライバシーの問題から守るより、ユーザに「より良い体験」を与えることに熱心なようです。

次のAppleの充分でないパッチポリシーによりユーザのセキュリティとプライバシーが危うい状態ですという記事も参照ください
https://act2blog.blogspot.com/2022/06/apple.html

■Apple Watch

最もひどい変更は、今年のオペレーティングシステムであるwatchOS 9の対応リストからApple
Watch Series 3を除外したことでしょう。Series
3は、今でも22,800円という破格の値段のスマートウォッチとして販売されています。しかし今日買ったスマートウォッチが、数ヶ月後に登場するオペレーティングシステムに対応しないと言うのは、控えめに言ってもひどい話であり好ましい商習慣とは言えません。

とは言え、デバイスの技術という点ではSeries
3は5年前の2017年に発売された古い製品であり、この製品を買う多くの人は最新製品に比べて機能が劣っていることは理解しているでしょう。Appleは、watchOS
8でもいくつかの拡散している脆弱性をパッチしましたが、元々Apple
Watchのセキュリティ上の脅威は多くありません。なのでセキュリティの問題はさほど問題にならないのかもしれませんが、今でも積極的に販売されている製品をAppleが一晩で旧式にしてしまうのはいただけません。

今後もAppleがwatchOS
8のセキュリティアップデートを公開するのか、今年の後半からセキュリティアップデートが提供されるのがwatchOS
9だけになるのかは、いずれわかることでしょう。Appleの過去の例で言えば、2020年にwatchOSのバージョン5、6、そして7のセキュリティアップデートが公開されたことがありますが、watchOS
8が公開されてからwatchOS
7のセキュリティアップデートは一度も公開されていません。

■iPod touch

Appleは、iOS 16の発表(
https://www.intego.com/mac-security-blog/apple-presents-macos-ventura-ios-16-ipados-16-and-new-macs/
)直前にiPod touchシリーズの販売を終了させましたので(
https://www.intego.com/mac-security-blog/requiem-for-the-ipod-intego-mac-podcast-episode-239/
)、ある意味では、AppleがiOS 16でiPod
touch(第七世代)に対応しないことに大きな衝撃はないでしょう。

しかし、これはAppleがiOS 13の公開直前にiPod touch(第六世代)の販売を終了して第六世代をiOS
12までしか対応させなかった時と似た状況にあるとも言えます。実際、どちらのiPodも新しいiOSバージョン公開の数ヶ月前に販売終了しています(Appleがこれまで同様にiOS
16を9月に公開する前提です)。この5月にiPod
touchを新品で買った人は、購入してから4ヶ月で今後はiOSのアップデートが提供されなくなると一ヶ月後に知ったことになります。

Appleが今後もiOS
15のパッチを提供しないのであれば(そして、多分提供しないのですが)、非常に短い猶予しかなかったということからAppleが訴訟の対象になるかもしれません。iOS
15は、iPhone 6および初代iPad Airなどいくつかのデバイスが対応する最後のiOSとなったiOS
12と似た終焉を迎えそうです。Appleは、iOS
12に対しては過去数年間に散発的なパッチを公開しただけなのです。
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/iOS-14.8-patches-addressed-in-iOS-15-updated-20211028.jpg

上図は、2021年9月に当時サポート対象だったiOSバージョンに対して公開されたiOSのセキュリティ修正のリストです。Appleは、それ以降にiOS
12の脆弱性をパッチしておらず、10月以降にはiOS 14の脆弱性もパッチしていません。詳細については、この記事を参照ください(
https://act2blog.blogspot.com/2022/06/apple.html )

■計画的陳腐化なのか、古い技術の当然の引退なのか?

Appleが特定のデバイスを新しいオペレーティングシステムに対応させない理由は、幾つもあるでしょう。新機能がより高速なプロセッサやより多くのRAM容量やストレージ容量を必要とするのであれば、互換性を提供できないことに対して納得のいく説明もできるでしょう。しかし新しいオペレーティングシステムの主な目的の一つが、ユーザにそのデバイスを買い換えさせようすることにあるのも事実でしょう。

iPhoneは毎日持ち歩くため傷が付いたり劣化するので、そのユーザがMacやiPadよりも頻繁に製品を買い替える傾向にあるといった、また別の要素もあります。

とはいえ、Appleは持続可能化とさらに真剣に向き合い、デバイスを可能な限り使い続けられるように注力すべきです。例えば、デバイスのバッテリ能力の低下とデバイスに内蔵されたストレージの容量不足は解決できる可能性があることを、Appleはもっと啓蒙する必要があります。iPhone、iPad、そしてラップトップMacのバッテリをAppleが適正価格で交換していることを、多くの人は知りません。この事実を、もっと明快に周知する必要があります。デバイス内蔵のストレージについても同様で、AppleはデータをiCloudに保存することで内蔵ストレージに空きを作る方法についてユーザにもっと説明すべきです。デフォルトのiCloudストレージの容量を5GBより多くして、デバイス内から退避できるデータを増やしてみせることだってできるはずです。

しかし実際には、最新で最速で最も幻惑的なiPhone、iPad、あるいはMacのよくできた宣伝文句がユーザの注意を惹きつけるわけで、Appleは現在の「乗り遅れの恐怖」を煽るマーケティング手法を取り続けるでしょう。

一方で「乗り遅れることを気にしない」Appleユーザはアップグレードを見送ってしまい、気づかぬ内に危険なセキュリティおよびプライバシーの問題に直面させられることになるのです。

■お使いのMacは安全ですか?

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
https://www.act2.com/intego

2022年6月21日火曜日

Appleの充分でないパッチポリシーによりユーザのセキュリティとプライバシーが危うい状態です

 Appleの充分でないパッチポリシーによりユーザのセキュリティとプライバシーが危うい状態です(この記事は、2011年1月28日にJoshuaLong(https://www.intego.com/mac-security-blog/author/joshlong/)によってMacSecurity Blogに投稿されたApple's Poor Patching Policies Potentially MakeUsers' Security and Privacy Precariousの翻訳です)

Appleのセキュリティアップデートに関する慣習は、もどかしく困惑させられるだけでなく、控えめに言ってもユーザを危険に晒す可能性があります。
同社は、研究者から脆弱性について報告を受けても、数ヶ月後にやっとパッチすることが多くあります。

Appleは、脆弱性をパッチした事実の公表を、特定のアップデートで解決した問題のリストに追加するまでの一ヶ月以上待つことがよくあります。
同社は、特定のオペレーションシステムがいつまでセキュリティアップデートを受けるか、あるいはどのようなセキュリティの問題がパッチされるのか、そのポリシーを公にしたことがほとんどありません。
また、Appleは特定のオペレーションシステムのバージョンでパッチされた脆弱性が、なぜ他のバージョンではパッチされないのかを説明したこともありません。セキュリティを重視するユーザは、ただ次のように想像するしかありません:
「この脆弱性は、単にあのOSのバージョンには影響しないのかもしれない」”

「Appleは、新しいOSが元々安全なので、パッチが不要であることを説明する必要がないと思ったのかもしれない」

「Appleは脆弱性をパッチしたけれど、その事実を公表するのを忘れているのかもしれない」
「あるいは、Appleは脆弱性をパッチしたけれど、何らかの理由で意図的に公表していないのかもしれない」
Appleによるこの透明性の欠如は、状況によっては大きな問題となることがあります。その点については、後述します。


■揺るがない事実: 常に最新のmacOSバージョンが必要
先月、Appleを対象にしたセキュリティコンファレンス、Objective by the Sea
v4.0(https://www.intego.com/mac-security-blog/integos-josh-long-speaking-at-obts-v4-0-mac-security-conference/)で、まさにこの議題について講演しました。私は、セキュリティアップデートについて考えた時、2世代前のmacOSのバージョンが最新のmacOSのバージョンと同じ対応を受けているのかということを中心に話しました(https://youtu.be/o5KUvgXHOFU)。
時間が30分あったら、上の動画全体を観ることをお勧めします。私の面白い発見について詳細に記載した白書が発行されたら通知を受け取るために電子メールアドレスを送ってください(https://intego.ac-page.com/whitepaper)。

とにかく、その概要をまとめてみます:あらゆる「活発で危険な(言い換えると、野に放たれている)」脆弱性から自らを守るには、macOSの最新バージョンを使うことが必須です。悪意を持った誰かが既に標的に対して攻撃を始めているわけですから、その脆弱性は一般に最も危険とされるセキュリティの問題に含まれているはずです。
この図で分かる通り、Big Sur時代の「活発で危険な」脆弱性15個のうち、Big
Surだけが全15個のアップデートを受けています(https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/Big-Sur-era-actively-exploited-vulnerabilities-via-Josh-Long-OBTS-slides.jpg)。
上の講演で話し、今後発行される白書で詳細に説明している通り、macOSMojaveはPegasusスパイウェアが盛んに利用している"FORCEDENTRY"バグの影響を受け(https://www.intego.com/mac-security-blog/topic/pegasus)、
今後もその状況は変わらないでしょう。macOSMojaveに、そして少なくとも現時点でmacOS BigSurとCatalinaに影響する脆弱性は他にもあり、まだパッチされていません。

Appleの行動や発言からだけでは、こうした事実を知ることはできません。ほとんどのユーザは、セキュリティパッチをインストールしたら、Appleが全ての基地の脆弱性を修正したと考え、使っているMacが安全であると安心します。しかし、実際には、最新のmacOS(現在では、macOSMonterey)を使っているのでない限り、Appleのアップデートは誤ったセキュリティ感覚を与える限定的な修正しか提供していないのです。
https://twitter.com/theJoshMeister/status/1453841355176693760
クイックアップデート: 昨日、Big SurおよびCatalina用にSafari15.1が公開されましたが、リリースノートでは7個のWebKit
(https://twitter.com/hashtag/WebKit?src=hash&ref_src=twsrc%5Etfw)
脆弱性のうち5個だけが修正されたとされています。11.xおよび10.15.xでは2個がパッチされないままです:
CVEs 2021-30823{Gullasch
(https://twitter.com/0x41414141?ref_src=twsrc%5Etfw">@0x41414141)}、および2021-30861
(https://twitter.com/_r3ggi?ref_src=twsrc%5Etfw">@_r3ggi)
およびPickren。
上にある通り、今週公開されたmacOS Montereyでも残念ながら改善されていません。


■iOSおよびiPadOSも同様に影響を受けるのでしょうか
iOSの脆弱性についても同じ状況なのかどうか判断を下すには、AppleがiOS(およびiPadOS)
15を公開してからの時間が少なすぎます。9月にiOS 15が公開されるまで、Appleは時々iOS
12にもアップデートを公開しましたが、完全にサポートしていたのはiOS
14だけでした。今のところ、iOSの状況もmacOSと同様であろうと考えるしかありません。
公表されているポリシー(https://support.apple.com/ja-jp/HT204204)によれば、現在、AppleはiOS
15だけを完全にサポートするとともに、iOS 14に「重要なセキュリティアップデート」を公開するとしています。同社は、iOS
12にも折に触れてセキュリティアップデートを公開するようですが、「活発に活動」する脆弱性に限られるでしょう(Appleが実際にiOS
12を限定的にでもサポートすると公表したことはありません)。
そのインストールベースが分散されてしまうのに、AppleがiOS
14もサポートし続けることを選択したのはちょっと意外です。AndroidはOSが分散していることを長年に渡り批判されていますので、このAppleの判断は少々不可解です。iOS
15が対応するハードウェアは、iOS 14と全く同じですから、AppleがiOS
14のサポートを停止しても、全てのユーザがセキュリティアップデートを受けることができるはずです。全てのiOS
14ユーザは、セキュリティアップデートを受け続けるためにiOS15にアップデートすれば良いだけなのです。
しかし、macOS同様に、iOS 15とiOS14の間で何がパッチされて何がパッチされないのかの格差が出てきそうです。
注意したいのは、iOS 15(および15.0.1、15.0.2、そして15.1)のリリースノートに、iOS
14.8でパッチされた2個の「活発に活動」する脆弱性が記載されていないことです。このうちの1個は、Pegasasuスパイウェア(https://www.intego.com/mac-security-blog/topic/pegasus)が利用するFORCEDENTRYとしても知られるCVE-2021-30860です。
Appleは、iOS 15.xでこの脆弱性が修正されているのか公表していません。 他の脆弱性はiOS
14.8およびiOS 15のリリースノートに記載されていますが、この「活発に活動」する2個の脆弱性はiOS14.8のノートにしか登場しないのです。前出の通り、こうなると後は想像するしかなくなります。

この問題に対して何度かコメントを求めましたが、Appleからの回答はありませんでした。
ちなみにセキュリティ研究者のコミュニティで、FORCEDENTRY脆弱性に詳しい他の研究者とも話をしています。iOS15.1にこの脆弱性があるのかないのか確認できる人がいたら、その内容に基づいてこの記事を更新します。
アップデート: 
研究者、TomMcGuire(https://objective-see.com/blog/blog_0x67.html)とMickey
Jin(https://www.trendmicro.com/en_us/research/21/i/analyzing-pegasus-spywares-zero-click-iphone-exploit-forcedentry.html)
の二人がiOS15.0のパブリックリリース(ベータ版ではない)およびそれ以降のバージョンはFORCEDENTRY脆弱性の影響を受けない<ことを確認してくれました(JinおよびMcGuireは、macOSMojaveが影響を受け続けることも確認してくれました)。
なぜAppleが他の14の脆弱性についてはiOS14.8とiOS15のリリースノートに同時にリストしているのに、両方のオペレーティングシステムで修正されている1個の「活発に活動」する脆弱性についてはiOS15のノートに記載されていないのかは謎です。
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/iOS-14.8-patches-addressed-in-iOS-15-updated-20211028.jpg

iOS 14.8のパッチリストです。Appleのリリースノートでは、20個のうちの14個がiOS15でも修正されたことを示しています。15番目も確認できました。でも残りの5個はどうなのでしょう?
我々は、匿名で報告された「活発に活動」するCVE-2021-30858 WebKit脆弱性がiOS15に影響するかまだ知りません(多分、永久に知ることはできないでしょう)。しかし、iOS
15がiOS 14やiOS12よりも多くのパッチを受けるであろうことは、Appleのドキュメントから容易に推測できます。

下の長いリストは、iOS/iPadOS 14.8のリリース以降に15.x、14.x、12.xでAppleがパッチしたとするものです。macOSMonterey同様に、iOS15が最も多くパッチされ、以前のiOSよりも安全な選択肢であることが明らかです:
https://twitter.com/theJoshMeister/status/1454023794578706433


■Appleがするべきこと
本来、こんな状況であってはいけません。Appleのどのオペレーティグシステムが本当に安全に使えるのか、そしてどのオペレーティングシステムが今ひとつのセキュリティなのか、ユーザが心配するなんておかしいのです。
以下は、Appleがするべきことのリストです。

1.Appleは、どの問題が修正され、どれがまだ修正されていないのか、そしてそれはなぜかについて公表するべきです。
Appleの関係者でないユーザが、何がパッチされ、何がパッチされていないか自分で調べる必要なんてありません。Apple自身が各OSパッチの格差について明快に公表するべきです。特定のオペレーティングシステムで特定の脆弱性がパッチされない理由をユーザが推測する必要はありません。
同様に、Appleはセキュリティについて勘違いさせてはいけません。古いOSのバージョンが一部のパッチだけを受ける場合、Appleはその点を明記しなければなりません。これにより、ユーザは最新の(つまり完全にサポートされている)OSへメジャーアップグレードしようと考えるのです。これは、Appleにとってもユーザにとっても良いことのはずです。

2.Appleは、セキュリティアップデートおよびOSのサポートポリシーを明快に公表しなければなりません。
Microsoftは、この点では良い仕事をしています;同社の製品は、セキュリティアップデートの提供が終了する日程を明解にしています。AppleにもMicrosoftから学ぶべきことがいくつかあるのです。

3.Appleは、セキュリティの問題に関して研究者やジャーナリストに24時間以内に解凍するべきです。
同社は、セキュリティレポートおよびメディアからの問い合わせに1営業日以内に回答するポリシーを持つべきです。Appleは、セキュリティ研究者やジャーナリストに無視されたと思わせてはいけません。
人員不足で迅速に回答できないのであれば、Appleは稼いだ大量のお金(https://www.thestreet.com/apple/news/live-blog-follow-apples-fiscal-q4-earnings-in-real-time)の一部を雇用に回すべきでしょう。

4. Appleは、セキュリティの問題を90日以内に解決するべきです。
90日以内の解決は、業界標準です。Google Project
Zeroおよび他のグループは、セキュリティの問題を公開する前に、その問題がパッチされるまで他の企業に90日の猶予を与えています。研究者がAppleと直接やり取りしてみると、Appleでは脆弱性をパッチするまで90日以上の期間がかかることがあります。
繰り返しになりますが、人員不足で迅速にパッチできないという場合でも、Appleなら増員は容易いはずです。

5. Appleは、脆弱性報奨金制度をもっと充実させるべきです。
Appleが賞金を出す対象となる問題の種類と同社の脆弱性報奨金制度で払われる金額の両方が、もっと充実するべきです。貴重なセキュリティ脆弱性情報をAppleに直接報告した多くの真っ当な研究者は、その手続や結果に不満を持っています。
Appleは、そうしたセキュリティ研究者に現在よりも手厚く報いなければなりません。Appleより優れた脆弱性報奨金制度を持つ会社はたくさんあります。Appleは、研究者や脆弱性報奨金制度の専門家からフィードバックを募り、制度を改善するべきです。

株式会社アクト・ツー
Software Product Team


2022年6月19日日曜日

macOS VenturaとiPadOS 16の新しいセキュリティおよびプライバシー機能

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。
act2ブログ日曜版〜IntegoTips〜をお届けいたします。





macOS VenturaとiPadOS 16の新しいセキュリティおよびプライバシー機能

(この記事は、2022年6月8日にKirkMcElhearn(https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/
によってMacSecurity Blogに投稿されたNew Security and Privacy Features in macOS Ventura,iOS 16, and iPadOS 16の翻訳です)


先日Appleがお披露目した今年の新しいオペレーティングシステムには、生産性を向上する機能だけでなく、これまで以上にオペレーティングシステムを楽しく使えそうな新機能が満載でしたね
https://www.intego.com/mac-security-blog/apple-presents-macos-ventura-ios-16-ipados-16-and-new-macs/)。
そして、macOS Ventura、iOS 16、そしてiPadOS16では、セキュリティとプライバシーを向上するたくさんの新機能が登場します。
こうした機能のほとんどは、これらすべてのオペレーティングシステムに搭載されます。この記事では、今秋に公開されると思われる新機能の概要を紹介します。


パスキー


FIDOアライアンス( https://fidoalliance.org/?lang=ja)の一員として、Appleはパスワードのない未来に向かっています。
少なくともウェブサイトやAppに入力するために忘れないように苦労しなければならないパスワードは不要となる未来です。
そこで、Appleはそのプラットフォームにパスキーを導入します。Appleの開発者向けドキュメントでは、次のように説明されています:


「パスキーでは、iCloudキーチェーンの公開鍵クレデンシャルを利用することでパスワードを不要とします。パスワードの代わりにiOSのTouchIDやFaceIDなどのバイオメトリクス識別子、あるいはアカウントを作成し認証するためにmacOSでの確認を利用します。」


どういう意味かというと、ウェブサイトにログインするためにあなたが記憶している何か(例えば、パスワード)、あるいは二要素認証を使っているならあなたが持っている何か(例えば、ワンタイムコードを入力するための二要素用デバイス)を使うのではなく、将来はお使いのiPhoneあるいは他のデバイスが認証用のデバイスとなります。
“あなたが覚えている何か”はデバイスを利用するために入力したパスコードであり、“あなたが持っている何か”はあなたがあなたであることを確認するためのデバイスとなります
このシステムでは、常に不安と隣り合わせのパスワードの代わりに突破されることがない強力に暗号化された鍵を作成します。


我々は、すでにApple製デバイスを連携させる信頼の鎖について知っています
https://www.intego.com/mac-security-blog/the-chain-of-trust-in-apples-devices/)。
1台のデバイスで認証されているなら、そこから別のデバイスでの認証が可能です。
この方法が一般的になるまで何年かかかりそうですが、Appleが今から準備しているのは喜ばしいことです。


パスキーはウェブサーバに保管されないので、ウェブサイトからのデータ漏洩を防げます。
また、特定のウェブサイトにのみ適用され、そっくりな偽サイトでは動作しないのでフィッシング対策にもなります。
お使いのすべてのデバイスがエンドツーエンド暗号化を使ってiCloud経由で同期されるので、すべてのデバイスで利用が可能です。


さらに、お使いのiPhoneやiPadを使って他のデバイス上でウェブサイトやAppにログインできます。
QRコードをスキャンして、TouchIDあるいはFace IDで認証ができるようになります。


注意しなければならないのは、お使いのデバイスを不正利用されないために非常に強力なパスコードが必須になるということです。


Safariのパスワード


少なくとも新たな機能であるSafariパスキーが登場するまでの繋ぎとして、Safariのパスワード機能が改良されます。
現在でもウェブサイトでアカウントを作成する際、Safariが強力なパスワード候補を提示します。
しかし例えば、最低1文字は大文字でなければならないとか、数字でなければならないとか、記号でなければならないといったウェブサイト毎の条件を提示されたパスワード候補が満たさないことがあります。
新しいオペレーティングシステムでは、サイト毎の条件に合わせてパスワードを編集可能になります。


Rapid Security Response


現在のmacOSでは、通常のシステムアップデートは許可せずには適用されない状態でもセキュリティアップデートだけは自動で適用するように指定できます。
Appleは、きちんとしたOSアップデートの公開を待たずにセキュリティアップデートだけをより迅速に公開できるようにこの機能を改良します
こうしたアップデートはMac、iPhone、そしてiPadの全てでバックグラウンドでプッシュされインストールに再起動を必要としません。


メールを非公開


昨年、Appleは“メールを非公開”機能を公開しました。この機能では、iCloudメールアドレスのエイリアスである使い捨ての電子メールアドレスを作成できます。
こうしたアドレスの一つを使ってウェブサイトにアカウントを作成したとして、このアドレスに迷惑メールが届くようになったらそのアドレス自体を削除してしまうことができます。
今年、Appleは“メールを非公開”を改良し、サードパーティのAppが“メールを非公開”を使ったログインオプションを提供可能とします。


写真アルバムの保護


Appleの写真Appでは、写真を非表示にすることが可能です。
この機能を使うと、Appが非表示という名称のアルバムを作成します。
将来は、非表示のアルバムと最近削除したアルバムの両方がデフォルトでロックされ、利用にはパスワードを入力するか、TouchIDあるいはFace IDで認証するようになります。


セーフティチェック


Appleは、家庭内暴力の危険に晒されている人のためにセーフティチェックを開発しました。
この機能では、ユーザが過去に配偶者やパートナーに許可した位置情報の共有や写真の共有などすべてのアクセス権を削除できます。
緊急リセット機能を使えば、使っているその他すべてのデバイス上のiCloudからサインアウトし、すべてのプライバシー許可をリセットし、現在のデバイスでしかメッセージ送受信できないように制限することができます。


ペーストボード許可


iPhoneあるいはiPad上でペーストボードにコピーした情報をAppが利用する際、ユーザの許可が必要となります。


Face ID


iPadおよび対応するiPhoneの機種であれば、FaceIDが横方向でも使えるようになります。


新しいオペレーティングシステムには、これ以外にもセキュリティとプライバシー機能があるはずです。今後数ヶ月の間に、その詳細がわかってくると思います。


■お使いのMacは安全ですか?


Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:


株式会社アクト・ツー
Software Product Team


2022年6月15日水曜日

TechToolPro 15.0.3がリリースされました

TechToolPro15のアップデートがリリースされましたので、お知らせいたします。

現在、TechToolPro15をご利用のお客様は、無償でアップデートが可能です。

「TechToolPro15」メニューから「アップデートを確認」を選んでいただきますと、最新版の15.0.4がご入手いただけます。

TechToolPro 15.0.4の更新内容は下記のとおりです。



・SMART チェックテストと TechTool Protection SMART 機能の SMART データ整合性を

 検証するための更新
・新しいバージョンの macOS をサポートするためにディスク速度ツールを更新
・ディスク速度ツールに動的ボリュームリストを追加
・[コンピューターテスト環境設定] にモデル識別文字列を追加
・その他の軽微な修正と改良

 
株式会社アクト・ツー
Software Product Team

2022年6月14日火曜日

Camtasia2022遂に登場!動画編集に革命を起こします!


Camtasiaの最新版2022が遂に登場!
シンプル操作で好評の2021から、さらにパワーアップして2022としてリリースされました。


・Camtasiaひとつで、すべてを完結

 画面録画から編集・仕上げ作業まで、これ1つですべての工程を完結できます。


・シンプル操作でありながら高機能

 主な編集操作はドラッグ&ドロップで行いますので、直感的に作業を進められます。

 Camtasiaの操作方法は直感的ですから、慣れるのに時間を要することはないでしょう。


・チュートリアルビデオで、操作方法をカンタンに習得

 はじめてご利用いただく方には、チュートリアルビデオで操作方法を習得していただけます。

 また、テンプレートも豊富に用意されていますので、操作にまつわるトレーニング時間は、最小限で終わる

 ことでしょう。


全世界3400万人を超えるユーザーにご利用いただいているCamrajiaシリーズ。

2022で新しく備わった機能に関しては、下記サイトより是非チェックしてください。


 Camtasia2022(カムタジア)

 https://www.act2.com/techsmith/camtasia


株式会社アクト・ツー
Software Product Team