Appleのセキュリティアップデートに関する慣習は、もどかしく困惑させられるだけでなく、控えめに言ってもユーザを危険に晒す可能性があります。
同社は、研究者から脆弱性について報告を受けても、数ヶ月後にやっとパッチすることが多くあります。
同社は、特定のオペレーションシステムがいつまでセキュリティアップデートを受けるか、あるいはどのようなセキュリティの問題がパッチされるのか、そのポリシーを公にしたことがほとんどありません。
また、Appleは特定のオペレーションシステムのバージョンでパッチされた脆弱性が、なぜ他のバージョンではパッチされないのかを説明したこともありません。セキュリティを重視するユーザは、ただ次のように想像するしかありません:
「この脆弱性は、単にあのOSのバージョンには影響しないのかもしれない」”
「Appleは、新しいOSが元々安全なので、パッチが不要であることを説明する必要がないと思ったのかもしれない」
「Appleは脆弱性をパッチしたけれど、その事実を公表するのを忘れているのかもしれない」
「あるいは、Appleは脆弱性をパッチしたけれど、何らかの理由で意図的に公表していないのかもしれない」
Appleによるこの透明性の欠如は、状況によっては大きな問題となることがあります。その点については、後述します。
先月、Appleを対象にしたセキュリティコンファレンス、Objective by the Sea
v4.0(https://www.intego.com/mac-security-blog/integos-josh-long-speaking-at-obts-v4-0-mac-security-conference/)で、まさにこの議題について講演しました。私は、セキュリティアップデートについて考えた時、2世代前のmacOSのバージョンが最新のmacOSのバージョンと同じ対応を受けているのかということを中心に話しました(https://youtu.be/o5KUvgXHOFU)。
時間が30分あったら、上の動画全体を観ることをお勧めします。私の面白い発見について詳細に記載した白書が発行されたら通知を受け取るために電子メールアドレスを送ってください(https://intego.ac-page.com/whitepaper)。
この図で分かる通り、Big Sur時代の「活発で危険な」脆弱性15個のうち、Big
Surだけが全15個のアップデートを受けています(https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/Big-Sur-era-actively-exploited-vulnerabilities-via-Josh-Long-OBTS-slides.jpg)。
上の講演で話し、今後発行される白書で詳細に説明している通り、macOSMojaveはPegasusスパイウェアが盛んに利用している"FORCEDENTRY"バグの影響を受け(https://www.intego.com/mac-security-blog/topic/pegasus)、
Appleの行動や発言からだけでは、こうした事実を知ることはできません。ほとんどのユーザは、セキュリティパッチをインストールしたら、Appleが全ての基地の脆弱性を修正したと考え、使っているMacが安全であると安心します。しかし、実際には、最新のmacOS(現在では、macOSMonterey)を使っているのでない限り、Appleのアップデートは誤ったセキュリティ感覚を与える限定的な修正しか提供していないのです。
https://twitter.com/theJoshMeister/status/1453841355176693760
クイックアップデート: 昨日、Big SurおよびCatalina用にSafari15.1が公開されましたが、リリースノートでは7個のWebKit
CVEs 2021-30823{Gullasch
(https://twitter.com/0x41414141?ref_src=twsrc%5Etfw">@0x41414141)}、および2021-30861
(https://twitter.com/_r3ggi?ref_src=twsrc%5Etfw">@_r3ggi)
上にある通り、今週公開されたmacOS Montereyでも残念ながら改善されていません。
iOSの脆弱性についても同じ状況なのかどうか判断を下すには、AppleがiOS(およびiPadOS)
15を公開してからの時間が少なすぎます。9月にiOS 15が公開されるまで、Appleは時々iOS
12にもアップデートを公開しましたが、完全にサポートしていたのはiOS
14だけでした。今のところ、iOSの状況もmacOSと同様であろうと考えるしかありません。
公表されているポリシー(https://support.apple.com/ja-jp/HT204204)によれば、現在、AppleはiOS
15だけを完全にサポートするとともに、iOS 14に「重要なセキュリティアップデート」を公開するとしています。同社は、iOS
12にも折に触れてセキュリティアップデートを公開するようですが、「活発に活動」する脆弱性に限られるでしょう(Appleが実際にiOS
12を限定的にでもサポートすると公表したことはありません)。
そのインストールベースが分散されてしまうのに、AppleがiOS
14もサポートし続けることを選択したのはちょっと意外です。AndroidはOSが分散していることを長年に渡り批判されていますので、このAppleの判断は少々不可解です。iOS
15が対応するハードウェアは、iOS 14と全く同じですから、AppleがiOS
14のサポートを停止しても、全てのユーザがセキュリティアップデートを受けることができるはずです。全てのiOS
14ユーザは、セキュリティアップデートを受け続けるためにiOS15にアップデートすれば良いだけなのです。
しかし、macOS同様に、iOS 15とiOS14の間で何がパッチされて何がパッチされないのかの格差が出てきそうです。
注意したいのは、iOS 15(および15.0.1、15.0.2、そして15.1)のリリースノートに、iOS
14.8でパッチされた2個の「活発に活動」する脆弱性が記載されていないことです。このうちの1個は、Pegasasuスパイウェア(https://www.intego.com/mac-security-blog/topic/pegasus)が利用するFORCEDENTRYとしても知られるCVE-2021-30860です。
Appleは、iOS 15.xでこの脆弱性が修正されているのか公表していません。 他の脆弱性はiOS
14.8およびiOS 15のリリースノートに記載されていますが、この「活発に活動」する2個の脆弱性はiOS14.8のノートにしか登場しないのです。前出の通り、こうなると後は想像するしかなくなります。
この問題に対して何度かコメントを求めましたが、Appleからの回答はありませんでした。
ちなみにセキュリティ研究者のコミュニティで、FORCEDENTRY脆弱性に詳しい他の研究者とも話をしています。iOS15.1にこの脆弱性があるのかないのか確認できる人がいたら、その内容に基づいてこの記事を更新します。
アップデート:
Jin(https://www.trendmicro.com/en_us/research/21/i/analyzing-pegasus-spywares-zero-click-iphone-exploit-forcedentry.html)
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/iOS-14.8-patches-addressed-in-iOS-15-updated-20211028.jpg
我々は、匿名で報告された「活発に活動」するCVE-2021-30858 WebKit脆弱性がiOS15に影響するかまだ知りません(多分、永久に知ることはできないでしょう)。しかし、iOS
15がiOS 14やiOS12よりも多くのパッチを受けるであろうことは、Appleのドキュメントから容易に推測できます。
下の長いリストは、iOS/iPadOS 14.8のリリース以降に15.x、14.x、12.xでAppleがパッチしたとするものです。macOSMonterey同様に、iOS15が最も多くパッチされ、以前のiOSよりも安全な選択肢であることが明らかです:
https://twitter.com/theJoshMeister/status/1454023794578706433
本来、こんな状況であってはいけません。Appleのどのオペレーティグシステムが本当に安全に使えるのか、そしてどのオペレーティングシステムが今ひとつのセキュリティなのか、ユーザが心配するなんておかしいのです。
以下は、Appleがするべきことのリストです。
Appleの関係者でないユーザが、何がパッチされ、何がパッチされていないか自分で調べる必要なんてありません。Apple自身が各OSパッチの格差について明快に公表するべきです。特定のオペレーティングシステムで特定の脆弱性がパッチされない理由をユーザが推測する必要はありません。
同様に、Appleはセキュリティについて勘違いさせてはいけません。古いOSのバージョンが一部のパッチだけを受ける場合、Appleはその点を明記しなければなりません。これにより、ユーザは最新の(つまり完全にサポートされている)OSへメジャーアップグレードしようと考えるのです。これは、Appleにとってもユーザにとっても良いことのはずです。
Microsoftは、この点では良い仕事をしています;同社の製品は、セキュリティアップデートの提供が終了する日程を明解にしています。AppleにもMicrosoftから学ぶべきことがいくつかあるのです。
同社は、セキュリティレポートおよびメディアからの問い合わせに1営業日以内に回答するポリシーを持つべきです。Appleは、セキュリティ研究者やジャーナリストに無視されたと思わせてはいけません。
人員不足で迅速に回答できないのであれば、Appleは稼いだ大量のお金(https://www.thestreet.com/apple/news/live-blog-follow-apples-fiscal-q4-earnings-in-real-time)の一部を雇用に回すべきでしょう。
90日以内の解決は、業界標準です。Google Project
Zeroおよび他のグループは、セキュリティの問題を公開する前に、その問題がパッチされるまで他の企業に90日の猶予を与えています。研究者がAppleと直接やり取りしてみると、Appleでは脆弱性をパッチするまで90日以上の期間がかかることがあります。
繰り返しになりますが、人員不足で迅速にパッチできないという場合でも、Appleなら増員は容易いはずです。
Appleが賞金を出す対象となる問題の種類と同社の脆弱性報奨金制度で払われる金額の両方が、もっと充実するべきです。貴重なセキュリティ脆弱性情報をAppleに直接報告した多くの真っ当な研究者は、その手続や結果に不満を持っています。
Appleは、そうしたセキュリティ研究者に現在よりも手厚く報いなければなりません。Appleより優れた脆弱性報奨金制度を持つ会社はたくさんあります。Appleは、研究者や脆弱性報奨金制度の専門家からフィードバックを募り、制度を改善するべきです。
株式会社アクト・ツー
Software Product Team