Googleが指摘していたiOSのセキュリティ問題に対し、Appleが反論

Appleが発表した声明

　米Appleは9月6日（米国時間、以下同）、iOSで指摘されていたセキュリティ問題に関する声明を発表した。この問題は米Googleのセキュリティチーム“Project Zero”により、8月29日に公表されたものだが、いくつかの点で間違いがあるという。

　Googleによると、同社の“Threat Analysis Group（TAG）”がハッキングされたWebサイトを発見したのは今年の初めのこと。iPhoneに存在したゼロデイ脆弱性を悪用し、訪問者に対する“水飲み場攻撃”が行われていたという。“水飲み場攻撃”とは、攻撃対象のユーザーが日頃アクセスしているWebサイトを改竄して待ち受け、ウイルスに感染させる手法のこと。今回の件では、メッセージングアプリの内容を盗聴する監視アプリが無差別に仕込まれていたようだ。

　TAGは「iOS 10」から最新の「iOS 12」までのほぼすべてのバージョンに影響する、5つのエクスプロイトチェーンを特定。少なくとも約2年にわたり、特定コミュニティのiPhoneユーザーがハッキングを受けていたと指摘していた。また、脆弱性の分析から得られた知見をもとに、Appleの開発体制についての批判も行っていた。

　これに対し、Appleは指摘された攻撃は高度かつ対象が限られいたと反論。攻撃により影響を受けたのは、ウイグル族のコミュニティに関するわずか十数件のWebサイトだったとして、広い範囲のiPhoneユーザーが影響を受けたことはないとした。

　また、Webサイトが攻撃を受けていた期間もGoogleが主張する“2年”ではなく、2カ月に過ぎなかったという。しかもAppleは状況を把握してすぐに解決に取り組み、わずか10日後、2月には脆弱性を修正していた（「iOS 12.1.4」）。GoogleがAppleに連絡してきたとき、Appleはすでに問題の修正作業中であったとしている。

　両者の主張が食い違っていることはさておき、実際に何者かが少数派コミュニティを監視するためにOSの脆弱性を悪用し、またベンダー側もすぐに修正を実施したとはいえ、すでに攻撃が始まっている脆弱性を第三者に指摘されるまで公表しなかったのは事実だ。Appleは“セキュリティは終りのない旅”であるとし、ユーザーの安全を守るための努力を続けると約束しているが、今後は透明性の向上にも取り組むべきだろう。