WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
今週初め、トルコの開発者レミ・オルハン・エルギン氏が、macOS High Sierraに深刻な脆弱性が存在するとツイートしました。この脆弱性は、root権限でログインし、パスワードなしで誰でもコンピュータにアクセスできることを示唆していました。Appleは翌日、パッチをリリースしました。
責任ある情報開示の支持者たちは即座にエルギン氏を非難し、彼のツイートを「愚かだ」「少し愚かだ」「全く無責任だ」と非難した。責任ある情報開示とは、脆弱性を発見したらまず企業に通知し、公開前にパッチをまとめるのに十分な時間を与えるべきだという考え方だ。
Twitterでの攻撃にもかかわらず、エルギン氏がツイートする前に、Appleは欠陥について警告を受けていたようだ。Mediumへの投稿で、エルギン氏はこの問題を勤務先の社員が発見し、公表前にAppleに報告したと主張している。WIREDはAppleにこの報告について確認を求めたが、記事掲載時点では回答がなかった。
「1週間前、私が勤めている会社のインフラスタッフが、同僚の一人がローカル管理者アカウントへのアクセスを回復するのを手伝おうとしていた時に、この問題に遭遇しました」と彼は書いている。「スタッフはこの問題に気づき、その欠陥を利用して同僚のアカウントを回復しました。」
エルギン氏は、同僚が11月23日にAppleにこの欠陥を報告し、11月13日にはApple Developer Forumですでに議論されていたことに気づいたと説明した。「問題は明らかになっていたように見えましたが、Appleはまだそれに気付いていませんでした。」
エルギン氏がこの欠陥についてツイートしたのは、それから5日後の11月28日だった。5日間という期間が責任ある情報開示と言えるかどうかはさておき、エルギン氏のツイートの意図は善意に基づいていた。「この問題は非常に深刻です。数週間前に既にフォーラムで言及され、公表されていました」と彼はMediumに書いている。「AppleやAppleユーザーに危害を加える意図は全くありません。このツイートを投稿したのは、Appleに警告し、『High Sierraには深刻なセキュリティ上の問題があります。認識して修正してください』と伝えたかっただけです」
世間の注目を集めた後、Appleは直ちに回避策に関するアドバイスを発表し、翌日にはパッチをリリースしました。これはmacOSユーザーにとっては朗報ですが、セキュリティ研究者がMacオペレーティングシステムの問題に注意するよう促すために、Appleがもっとできることはあるのでしょうか?という疑問が生じています。
責任ある情報開示は、いわゆるバグ報奨金プログラムによって促進されます。これは、企業がセキュリティ研究者に脆弱性の報告に対して報酬を支払うものです。このプログラムはテクノロジー業界で広く普及しており、2016年だけでもGoogleは300万ドルを支払いました。Facebook、Tesla、Microsoft、Uberも同様のプログラムを導入しています。また、非テクノロジー企業でも同様のプログラムが活用されています。Bugcrowdの「State of Bug Bounty」レポートによると、企業におけるこうしたプログラムの導入率は昨年300%増加しました。
しかし、AppleはiOS向けに招待制のバグ報奨金プログラムを提供しているものの、macOSで発見された脆弱性に対しては報奨金を支払わない。批評家は、研究者がmacOSのコードに脆弱性を探す可能性が低くなることを示唆していると指摘している。「バグ報奨金プログラムは、ハッカーがバグの発見にさらに時間を費やすよう促すのに役立ちます」と、HackerOneの共同創設者兼CTOであるアレックス・ライス氏は述べている。「報奨金制度は、より幅広いユーザー層からの注目を集めるのに役立ちます。つまり、より多くの人々がソフトウェアのセキュリティをテストしてくれるということです。」
Bugcrowdのトラスト&セキュリティエンジニア、キース・フッドレット氏も同意見です。「iCloudやiOSインフラだけでなく、もう少し幅広い範囲を対象としたバグ報奨金プログラムを導入すれば、Appleはおそらく恩恵を受けるでしょう」とフッドレット氏は言います。「大企業は通常、バグ報奨金プログラムによって大きなコスト削減を実現しており、それは主に時間コストの削減につながります。」
一方、Apple の脆弱性は価値が高いため、特別なケースとなる可能性がある。昨年のMotherboardのレポートでは、iOS の脆弱性は Apple に渡すには価値が高すぎるため、研究者が最高額の入札者に売却する可能性が高いと示唆されている。
Appleは確かに欠陥の補償金を支払うだけの資金力があるのに、なぜそうしないのだろうか?「Appleは、自社のシステムに報告された脆弱性への対応や対応に関しては、これまでやや閉鎖的な姿勢を貫いてきた」とフッドレット氏は言う。「歴史的に見て、Appleは脆弱性の修正に関して、研究者の発見を信用していない。つまり、これは企業文化なのかもしれない」
ライス氏は、バグ報奨金制度がないからといって、Appleのセキュリティが弱いわけではないと指摘し、そのようなプログラムは「セキュリティの万能薬ではない」と述べた。「脆弱性は常に避けられないものであり、Appleの並外れたセキュリティ対応は称賛に値する。今回の問題は数日で完全に解決された」と付け加えた。
バグ報奨金プログラムがなくても、Appleはメールで脆弱性報告を受け付けており、ライス氏は、報告料を支払うよりも、こうした脆弱性開示プログラムを導入することの方が重要だと述べています。「これは、『脆弱性をご存知でしたら、ぜひ共有していただければ修正いたします』というメッセージを世界に発信することになります」とライス氏は言います。「これは、善意のハッカーが発見した情報を開示するための安全で安心なチャネルを提供し、弁護士や法執行機関からの対応に直面するリスクを回避することにつながります。」
バグを発見した場合は、Apple の脆弱性開示の詳細をこちらで確認してください。
この記事はWIRED UKで最初に公開されました。
