Appleの充分でないパッチポリシーによりユーザのセキュリティとプライバシーが危うい状態です(この記事は、2011年1月28日にJoshuaLong(https://www.intego.com/mac-security-blog/author/joshlong/)によってMacSecurity Blogに投稿されたApple's Poor Patching Policies Potentially MakeUsers' Security and Privacy Precariousの翻訳です)
Appleのセキュリティアップデートに関する慣習は、もどかしく困惑させられるだけでなく、控えめに言ってもユーザを危険に晒す可能性があります。
同社は、研究者から脆弱性について報告を受けても、数ヶ月後にやっとパッチすることが多くあります。
Appleは、脆弱性をパッチした事実の公表を、特定のアップデートで解決した問題のリストに追加するまでの一ヶ月以上待つことがよくあります。
同社は、特定のオペレーションシステムがいつまでセキュリティアップデートを受けるか、あるいはどのようなセキュリティの問題がパッチされるのか、そのポリシーを公にしたことがほとんどありません。
また、Appleは特定のオペレーションシステムのバージョンでパッチされた脆弱性が、なぜ他のバージョンではパッチされないのかを説明したこともありません。セキュリティを重視するユーザは、ただ次のように想像するしかありません:
「この脆弱性は、単にあのOSのバージョンには影響しないのかもしれない」”
「Appleは、新しいOSが元々安全なので、パッチが不要であることを説明する必要がないと思ったのかもしれない」
「Appleは脆弱性をパッチしたけれど、その事実を公表するのを忘れているのかもしれない」
「あるいは、Appleは脆弱性をパッチしたけれど、何らかの理由で意図的に公表していないのかもしれない」
Appleによるこの透明性の欠如は、状況によっては大きな問題となることがあります。その点については、後述します。
同社は、特定のオペレーションシステムがいつまでセキュリティアップデートを受けるか、あるいはどのようなセキュリティの問題がパッチされるのか、そのポリシーを公にしたことがほとんどありません。
また、Appleは特定のオペレーションシステムのバージョンでパッチされた脆弱性が、なぜ他のバージョンではパッチされないのかを説明したこともありません。セキュリティを重視するユーザは、ただ次のように想像するしかありません:
「この脆弱性は、単にあのOSのバージョンには影響しないのかもしれない」”
「Appleは、新しいOSが元々安全なので、パッチが不要であることを説明する必要がないと思ったのかもしれない」
「Appleは脆弱性をパッチしたけれど、その事実を公表するのを忘れているのかもしれない」
「あるいは、Appleは脆弱性をパッチしたけれど、何らかの理由で意図的に公表していないのかもしれない」
Appleによるこの透明性の欠如は、状況によっては大きな問題となることがあります。その点については、後述します。
■揺るがない事実: 常に最新のmacOSバージョンが必要
先月、Appleを対象にしたセキュリティコンファレンス、Objective by the Sea
v4.0(https://www.intego.com/mac-security-blog/integos-josh-long-speaking-at-obts-v4-0-mac-security-conference/)で、まさにこの議題について講演しました。私は、セキュリティアップデートについて考えた時、2世代前のmacOSのバージョンが最新のmacOSのバージョンと同じ対応を受けているのかということを中心に話しました(https://youtu.be/o5KUvgXHOFU)。
時間が30分あったら、上の動画全体を観ることをお勧めします。私の面白い発見について詳細に記載した白書が発行されたら通知を受け取るために電子メールアドレスを送ってください(https://intego.ac-page.com/whitepaper)。
先月、Appleを対象にしたセキュリティコンファレンス、Objective by the Sea
v4.0(https://www.intego.com/mac-security-blog/integos-josh-long-speaking-at-obts-v4-0-mac-security-conference/)で、まさにこの議題について講演しました。私は、セキュリティアップデートについて考えた時、2世代前のmacOSのバージョンが最新のmacOSのバージョンと同じ対応を受けているのかということを中心に話しました(https://youtu.be/o5KUvgXHOFU)。
時間が30分あったら、上の動画全体を観ることをお勧めします。私の面白い発見について詳細に記載した白書が発行されたら通知を受け取るために電子メールアドレスを送ってください(https://intego.ac-page.com/whitepaper)。
とにかく、その概要をまとめてみます:あらゆる「活発で危険な(言い換えると、野に放たれている)」脆弱性から自らを守るには、macOSの最新バージョンを使うことが必須です。悪意を持った誰かが既に標的に対して攻撃を始めているわけですから、その脆弱性は一般に最も危険とされるセキュリティの問題に含まれているはずです。
この図で分かる通り、Big Sur時代の「活発で危険な」脆弱性15個のうち、Big
Surだけが全15個のアップデートを受けています(https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/Big-Sur-era-actively-exploited-vulnerabilities-via-Josh-Long-OBTS-slides.jpg)。
上の講演で話し、今後発行される白書で詳細に説明している通り、macOSMojaveはPegasusスパイウェアが盛んに利用している"FORCEDENTRY"バグの影響を受け(https://www.intego.com/mac-security-blog/topic/pegasus)、
この図で分かる通り、Big Sur時代の「活発で危険な」脆弱性15個のうち、Big
Surだけが全15個のアップデートを受けています(https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/Big-Sur-era-actively-exploited-vulnerabilities-via-Josh-Long-OBTS-slides.jpg)。
上の講演で話し、今後発行される白書で詳細に説明している通り、macOSMojaveはPegasusスパイウェアが盛んに利用している"FORCEDENTRY"バグの影響を受け(https://www.intego.com/mac-security-blog/topic/pegasus)、
今後もその状況は変わらないでしょう。macOSMojaveに、そして少なくとも現時点でmacOS BigSurとCatalinaに影響する脆弱性は他にもあり、まだパッチされていません。
Appleの行動や発言からだけでは、こうした事実を知ることはできません。ほとんどのユーザは、セキュリティパッチをインストールしたら、Appleが全ての基地の脆弱性を修正したと考え、使っているMacが安全であると安心します。しかし、実際には、最新のmacOS(現在では、macOSMonterey)を使っているのでない限り、Appleのアップデートは誤ったセキュリティ感覚を与える限定的な修正しか提供していないのです。
https://twitter.com/theJoshMeister/status/1453841355176693760
クイックアップデート: 昨日、Big SurおよびCatalina用にSafari15.1が公開されましたが、リリースノートでは7個のWebKit
(https://twitter.com/hashtag/WebKit?src=hash&ref_src=twsrc%5Etfw)
脆弱性のうち5個だけが修正されたとされています。11.xおよび10.15.xでは2個がパッチされないままです:
CVEs 2021-30823{Gullasch
(https://twitter.com/0x41414141?ref_src=twsrc%5Etfw">@0x41414141)}、および2021-30861
(https://twitter.com/_r3ggi?ref_src=twsrc%5Etfw">@_r3ggi)
CVEs 2021-30823{Gullasch
(https://twitter.com/0x41414141?ref_src=twsrc%5Etfw">@0x41414141)}、および2021-30861
(https://twitter.com/_r3ggi?ref_src=twsrc%5Etfw">@_r3ggi)
およびPickren。
上にある通り、今週公開されたmacOS Montereyでも残念ながら改善されていません。
上にある通り、今週公開されたmacOS Montereyでも残念ながら改善されていません。
■iOSおよびiPadOSも同様に影響を受けるのでしょうか
iOSの脆弱性についても同じ状況なのかどうか判断を下すには、AppleがiOS(およびiPadOS)
15を公開してからの時間が少なすぎます。9月にiOS 15が公開されるまで、Appleは時々iOS
12にもアップデートを公開しましたが、完全にサポートしていたのはiOS
14だけでした。今のところ、iOSの状況もmacOSと同様であろうと考えるしかありません。
公表されているポリシー(https://support.apple.com/ja-jp/HT204204)によれば、現在、AppleはiOS
15だけを完全にサポートするとともに、iOS 14に「重要なセキュリティアップデート」を公開するとしています。同社は、iOS
12にも折に触れてセキュリティアップデートを公開するようですが、「活発に活動」する脆弱性に限られるでしょう(Appleが実際にiOS
12を限定的にでもサポートすると公表したことはありません)。
そのインストールベースが分散されてしまうのに、AppleがiOS
14もサポートし続けることを選択したのはちょっと意外です。AndroidはOSが分散していることを長年に渡り批判されていますので、このAppleの判断は少々不可解です。iOS
15が対応するハードウェアは、iOS 14と全く同じですから、AppleがiOS
14のサポートを停止しても、全てのユーザがセキュリティアップデートを受けることができるはずです。全てのiOS
14ユーザは、セキュリティアップデートを受け続けるためにiOS15にアップデートすれば良いだけなのです。
しかし、macOS同様に、iOS 15とiOS14の間で何がパッチされて何がパッチされないのかの格差が出てきそうです。
注意したいのは、iOS 15(および15.0.1、15.0.2、そして15.1)のリリースノートに、iOS
14.8でパッチされた2個の「活発に活動」する脆弱性が記載されていないことです。このうちの1個は、Pegasasuスパイウェア(https://www.intego.com/mac-security-blog/topic/pegasus)が利用するFORCEDENTRYとしても知られるCVE-2021-30860です。
Appleは、iOS 15.xでこの脆弱性が修正されているのか公表していません。 他の脆弱性はiOS
14.8およびiOS 15のリリースノートに記載されていますが、この「活発に活動」する2個の脆弱性はiOS14.8のノートにしか登場しないのです。前出の通り、こうなると後は想像するしかなくなります。
iOSの脆弱性についても同じ状況なのかどうか判断を下すには、AppleがiOS(およびiPadOS)
15を公開してからの時間が少なすぎます。9月にiOS 15が公開されるまで、Appleは時々iOS
12にもアップデートを公開しましたが、完全にサポートしていたのはiOS
14だけでした。今のところ、iOSの状況もmacOSと同様であろうと考えるしかありません。
公表されているポリシー(https://support.apple.com/ja-jp/HT204204)によれば、現在、AppleはiOS
15だけを完全にサポートするとともに、iOS 14に「重要なセキュリティアップデート」を公開するとしています。同社は、iOS
12にも折に触れてセキュリティアップデートを公開するようですが、「活発に活動」する脆弱性に限られるでしょう(Appleが実際にiOS
12を限定的にでもサポートすると公表したことはありません)。
そのインストールベースが分散されてしまうのに、AppleがiOS
14もサポートし続けることを選択したのはちょっと意外です。AndroidはOSが分散していることを長年に渡り批判されていますので、このAppleの判断は少々不可解です。iOS
15が対応するハードウェアは、iOS 14と全く同じですから、AppleがiOS
14のサポートを停止しても、全てのユーザがセキュリティアップデートを受けることができるはずです。全てのiOS
14ユーザは、セキュリティアップデートを受け続けるためにiOS15にアップデートすれば良いだけなのです。
しかし、macOS同様に、iOS 15とiOS14の間で何がパッチされて何がパッチされないのかの格差が出てきそうです。
注意したいのは、iOS 15(および15.0.1、15.0.2、そして15.1)のリリースノートに、iOS
14.8でパッチされた2個の「活発に活動」する脆弱性が記載されていないことです。このうちの1個は、Pegasasuスパイウェア(https://www.intego.com/mac-security-blog/topic/pegasus)が利用するFORCEDENTRYとしても知られるCVE-2021-30860です。
Appleは、iOS 15.xでこの脆弱性が修正されているのか公表していません。 他の脆弱性はiOS
14.8およびiOS 15のリリースノートに記載されていますが、この「活発に活動」する2個の脆弱性はiOS14.8のノートにしか登場しないのです。前出の通り、こうなると後は想像するしかなくなります。
この問題に対して何度かコメントを求めましたが、Appleからの回答はありませんでした。
ちなみにセキュリティ研究者のコミュニティで、FORCEDENTRY脆弱性に詳しい他の研究者とも話をしています。iOS15.1にこの脆弱性があるのかないのか確認できる人がいたら、その内容に基づいてこの記事を更新します。
アップデート:
研究者、TomMcGuire(https://objective-see.com/blog/blog_0x67.html)とMickey
Jin(https://www.trendmicro.com/en_us/research/21/i/analyzing-pegasus-spywares-zero-click-iphone-exploit-forcedentry.html)
Jin(https://www.trendmicro.com/en_us/research/21/i/analyzing-pegasus-spywares-zero-click-iphone-exploit-forcedentry.html)
の二人がiOS15.0のパブリックリリース(ベータ版ではない)およびそれ以降のバージョンはFORCEDENTRY脆弱性の影響を受けない<ことを確認してくれました(JinおよびMcGuireは、macOSMojaveが影響を受け続けることも確認してくれました)。
なぜAppleが他の14の脆弱性についてはiOS14.8とiOS15のリリースノートに同時にリストしているのに、両方のオペレーティングシステムで修正されている1個の「活発に活動」する脆弱性についてはiOS15のノートに記載されていないのかは謎です。
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/iOS-14.8-patches-addressed-in-iOS-15-updated-20211028.jpg
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/10/iOS-14.8-patches-addressed-in-iOS-15-updated-20211028.jpg
iOS 14.8のパッチリストです。Appleのリリースノートでは、20個のうちの14個がiOS15でも修正されたことを示しています。15番目も確認できました。でも残りの5個はどうなのでしょう?
我々は、匿名で報告された「活発に活動」するCVE-2021-30858 WebKit脆弱性がiOS15に影響するかまだ知りません(多分、永久に知ることはできないでしょう)。しかし、iOS
15がiOS 14やiOS12よりも多くのパッチを受けるであろうことは、Appleのドキュメントから容易に推測できます。
我々は、匿名で報告された「活発に活動」するCVE-2021-30858 WebKit脆弱性がiOS15に影響するかまだ知りません(多分、永久に知ることはできないでしょう)。しかし、iOS
15がiOS 14やiOS12よりも多くのパッチを受けるであろうことは、Appleのドキュメントから容易に推測できます。
下の長いリストは、iOS/iPadOS 14.8のリリース以降に15.x、14.x、12.xでAppleがパッチしたとするものです。macOSMonterey同様に、iOS15が最も多くパッチされ、以前のiOSよりも安全な選択肢であることが明らかです:
https://twitter.com/theJoshMeister/status/1454023794578706433
■Appleがするべきこと
本来、こんな状況であってはいけません。Appleのどのオペレーティグシステムが本当に安全に使えるのか、そしてどのオペレーティングシステムが今ひとつのセキュリティなのか、ユーザが心配するなんておかしいのです。
以下は、Appleがするべきことのリストです。
本来、こんな状況であってはいけません。Appleのどのオペレーティグシステムが本当に安全に使えるのか、そしてどのオペレーティングシステムが今ひとつのセキュリティなのか、ユーザが心配するなんておかしいのです。
以下は、Appleがするべきことのリストです。
1.Appleは、どの問題が修正され、どれがまだ修正されていないのか、そしてそれはなぜかについて公表するべきです。
Appleの関係者でないユーザが、何がパッチされ、何がパッチされていないか自分で調べる必要なんてありません。Apple自身が各OSパッチの格差について明快に公表するべきです。特定のオペレーティングシステムで特定の脆弱性がパッチされない理由をユーザが推測する必要はありません。
同様に、Appleはセキュリティについて勘違いさせてはいけません。古いOSのバージョンが一部のパッチだけを受ける場合、Appleはその点を明記しなければなりません。これにより、ユーザは最新の(つまり完全にサポートされている)OSへメジャーアップグレードしようと考えるのです。これは、Appleにとってもユーザにとっても良いことのはずです。
Appleの関係者でないユーザが、何がパッチされ、何がパッチされていないか自分で調べる必要なんてありません。Apple自身が各OSパッチの格差について明快に公表するべきです。特定のオペレーティングシステムで特定の脆弱性がパッチされない理由をユーザが推測する必要はありません。
同様に、Appleはセキュリティについて勘違いさせてはいけません。古いOSのバージョンが一部のパッチだけを受ける場合、Appleはその点を明記しなければなりません。これにより、ユーザは最新の(つまり完全にサポートされている)OSへメジャーアップグレードしようと考えるのです。これは、Appleにとってもユーザにとっても良いことのはずです。
2.Appleは、セキュリティアップデートおよびOSのサポートポリシーを明快に公表しなければなりません。
Microsoftは、この点では良い仕事をしています;同社の製品は、セキュリティアップデートの提供が終了する日程を明解にしています。AppleにもMicrosoftから学ぶべきことがいくつかあるのです。
Microsoftは、この点では良い仕事をしています;同社の製品は、セキュリティアップデートの提供が終了する日程を明解にしています。AppleにもMicrosoftから学ぶべきことがいくつかあるのです。
3.Appleは、セキュリティの問題に関して研究者やジャーナリストに24時間以内に解凍するべきです。
同社は、セキュリティレポートおよびメディアからの問い合わせに1営業日以内に回答するポリシーを持つべきです。Appleは、セキュリティ研究者やジャーナリストに無視されたと思わせてはいけません。
人員不足で迅速に回答できないのであれば、Appleは稼いだ大量のお金(https://www.thestreet.com/apple/news/live-blog-follow-apples-fiscal-q4-earnings-in-real-time)の一部を雇用に回すべきでしょう。
同社は、セキュリティレポートおよびメディアからの問い合わせに1営業日以内に回答するポリシーを持つべきです。Appleは、セキュリティ研究者やジャーナリストに無視されたと思わせてはいけません。
人員不足で迅速に回答できないのであれば、Appleは稼いだ大量のお金(https://www.thestreet.com/apple/news/live-blog-follow-apples-fiscal-q4-earnings-in-real-time)の一部を雇用に回すべきでしょう。
4. Appleは、セキュリティの問題を90日以内に解決するべきです。
90日以内の解決は、業界標準です。Google Project
Zeroおよび他のグループは、セキュリティの問題を公開する前に、その問題がパッチされるまで他の企業に90日の猶予を与えています。研究者がAppleと直接やり取りしてみると、Appleでは脆弱性をパッチするまで90日以上の期間がかかることがあります。
繰り返しになりますが、人員不足で迅速にパッチできないという場合でも、Appleなら増員は容易いはずです。
90日以内の解決は、業界標準です。Google Project
Zeroおよび他のグループは、セキュリティの問題を公開する前に、その問題がパッチされるまで他の企業に90日の猶予を与えています。研究者がAppleと直接やり取りしてみると、Appleでは脆弱性をパッチするまで90日以上の期間がかかることがあります。
繰り返しになりますが、人員不足で迅速にパッチできないという場合でも、Appleなら増員は容易いはずです。
5. Appleは、脆弱性報奨金制度をもっと充実させるべきです。
Appleが賞金を出す対象となる問題の種類と同社の脆弱性報奨金制度で払われる金額の両方が、もっと充実するべきです。貴重なセキュリティ脆弱性情報をAppleに直接報告した多くの真っ当な研究者は、その手続や結果に不満を持っています。
Appleは、そうしたセキュリティ研究者に現在よりも手厚く報いなければなりません。Appleより優れた脆弱性報奨金制度を持つ会社はたくさんあります。Appleは、研究者や脆弱性報奨金制度の専門家からフィードバックを募り、制度を改善するべきです。
Appleが賞金を出す対象となる問題の種類と同社の脆弱性報奨金制度で払われる金額の両方が、もっと充実するべきです。貴重なセキュリティ脆弱性情報をAppleに直接報告した多くの真っ当な研究者は、その手続や結果に不満を持っています。
Appleは、そうしたセキュリティ研究者に現在よりも手厚く報いなければなりません。Appleより優れた脆弱性報奨金制度を持つ会社はたくさんあります。Appleは、研究者や脆弱性報奨金制度の専門家からフィードバックを募り、制度を改善するべきです。
株式会社アクト・ツー
Software Product Team
