ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表この頃、セキュリティ界隈で(2/2 ページ)

» 2021年10月07日 08時00分 公開
[鈴木聖子ITmedia]
前のページへ 1|2       

 一方、Appleのバウンティプログラムについてトカレフ氏は「不満を感じているのは私だけではない」と言い、同じような経験をした多数の研究者の報告や意見へのリンクを掲載した。

 この数日後には、Appleの紛失防止タグ「AirTag」の脆弱性を報告した別の研究者が、やはりAppleの対応に不満をぶつけた。

「AirTag」の脆弱性を説明したボビー・ラウフ氏のブログ

 この脆弱性は、持ち主がなくしたAirTagを拾得した人が、善意で持ち主に連絡できる「紛失モード」の仕組みに存在する。持ち主が紛失モードを設定すると個別のURLが生成されて、メッセージや連絡先電話番号を入力できる。そのAirTagを見つけた人がAppleの端末やAndroid端末でスキャンすれば、持ち主に電話するよう促すショートメッセージが表示される仕組み。

 ところが脆弱性を突いてこの機能を悪用すれば、iCloudに見せかけた不正なWebサイトに拾得者を誘導することができ、認証情報を入力させたり、マルウェアに感染させたりすることが可能という。

 セキュリティ情報サイトのKrebsonSecurityによると、脆弱性を発見した研究者のボビー・ラウフ氏がAppleに報告したのは6月20日。その後3カ月、同氏が問い合わせても「まだ調査中」といわれるばかりで、次回のアップデートで対処すると連絡があったのは9月23日だったという。

 他社の脆弱性も多数発見して報告しているラウフ氏は、Appleの対応に不満を募らせていた。Appleから9月23日に届いたメールでは、脆弱性が修正されるまで公表を差し控えてほしいと依頼されたが、ラウフ氏は同社のコミュニケーション欠如を理由に公表に踏み切った。「いつ修正されるのか、バグバウンティの賞金は受け取れるのかといった情報をある程度提供してくれれば、進んで協力するのに」とラウフ氏は言う。

該当のKrebsonSecurityの記事

 KrebsonSecurityはAppleのこうした対応について、「脆弱性ブローカーやダークネットで自分の情報を売った方が面倒が少ないと思う研究者もいるかもしれない」と懸念する。トカレフ氏やラウフ氏のような研究者がAppleの対応に業を煮やして未解決の脆弱性情報を公開すれば、ユーザーが危険にさらされる事態にもなりかねない。

 トカレフ氏によると、ブログの公開から24時間後、Appleからはこんな返信が届いたという。

 「お返事が遅れたことをおわびします。問題についてはまだ調査中です。問題の報告に時間を取っていただきありがとうございました。ご協力に感謝します。何か質問がありましたらお知らせください」

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.