• 会員限定
  • 2022/09/08 掲載

アップル製品の安全神話は終わった? 相次ぐ「脆弱性報告」の意味

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
一般にアップル製品はセキュリティが高いと評されている。しかし2022年8月、米国のCISAがアップル製品についてソフトウェアアップデートの注意喚起を行った。macOS、iOS、Safariについて恣意的なコードが実行される脆弱性が発見され、実際の攻撃も確認されたという。その直前、「BlackHat USA 2022」では、2021年にパッチが公開されたmacOSの脆弱性の回避方法について発表があった。アップル製品は危険になってきているのだろうか? 相次ぐアップル製品の脆弱性報告の意味を考えてみたい。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
脆弱性報告データベースからiOS、macOSの安全性を検証する
(Photo/Getty Images)

相次ぐアップル製品の脆弱性報告

 米国サイバーセキュリティ・社会基盤安全保障庁(CISA:Cybersecurity and Infrastructure Security Agency)が、アップル製品のソフトウェアアップデートについて注意を促すアナウンスを行った。具体的なパッチ情報はCVE-2022-32893、CVE-2022-32894に関するものだ。Webkit(32893)とiOS・macOSのメモリ境界処理に関する脆弱性により、攻撃サイトや悪意のあるアプリによって任意コードの実行を許してしまうというものである。2022年6月に登録申請されたこれらのCVEは、原稿執筆時点の8月21日現在、米国立標準技術研究所(NIST)の脆弱性情報データベース(NVD:National Vulnerability Database)に詳細情報は登録されていないが、アップルからはセキュリティアップデートがアナウンスされている。

 世界最大の情報セキュリティカンファレンス「BlackHat USA 2022」で発表されたmacOSの脆弱性は、CVE-2021-30873というプロセス制御に関するものだ。パッチは公開され、アップルとしての対応は終わっているが、脆弱性がプロセス管理に関連するもので、未対応の危険なアプリが残っていることに加え、対策済みのバージョンでもプロセスの注入が可能という報告だ。

 誤解のないように先に明言しておくが、アップル関係の脆弱性報告が続いたのは、単なる偶然である。BlackHatでの発表は半年以上前から公募が行われ、審査・選定のうえ決定される。アップルおよびCISAのアナウンスは、6月に脆弱性の詳細を把握し8月にパッチリリースされていることから、緊急対応的な動きがうかがえる。

 しかし、これらの発表に加え、国内ではサイドローディング解禁が問題となっていたり、TikTokのiOSアプリに当局の監視機能と思われるキーロガーが報告されたりといった動きがみられた。改めて「iOS・macOSは比較的安全」という神話を振り返る必要性を感じる。

iOS・macOSへの攻撃はここ数年に微増傾向

画像
図1:Android OSの割合
画像
図2:Windows OSの割合
画像
図3:iOSの割合
画像
図4:macOSの割合
 近年、IT環境がクラウドシフトするにつれ、ビジネスシーンでもMacを利用するユーザーが増えている。特にWeb・クラウド系の開発者は、開発環境がクラウドに集中するため、ローカル端末のOSの種類を選ばなくなってきている。ベースがUNIX(BSD)であるmacOSを好むエンジニアも少なくない。ユーザーが増え利用シーンが広がれば、それだけ攻撃者の注目を集めることになる。

 StatCounterの調査によると、現在、OSの世界シェアは1位がAndroid(44.66%)、2位がWindows(27.92%)3位がiOS・macOS(23.22%:iOS17.85%+macOS5.37%)である。macOSやiOSもある程度のシェアがあり、脆弱性情報は気になるところである。実際、アップル製品の脆弱性報告は増えているのだろうか? NVDのデータから考えてみよう。

 NVDは、米国の連邦政府が資金提供する非営利組織MITREが採番・管理する脆弱性情報のCVE番号とその内容を収めたデータベースだ。NVDへのデータ提供はMITREのほか、JPCERTコーディネーションセンター(JPCERT/CC)など主要国のセキュリティ機関、マイクロソフトなど大手ベンダーが行っている。脆弱性ハンドリングの枠組みで管理される世界中の情報が集まっているデータベースと言ってよい。

 OSごとの脆弱性報告件数をみると、Androidは件数・パーセントともに2017年から減少傾向をみせている(図1)。Windowsは増減を繰り返しているが、2020年以降は減少している(図2)。iOSは2015年のピーク以降、減少傾向がみられるものの、2019年以降は横ばい(報告件数は増加傾向だがパーセントは横ばい)だ。2022年に件数、パーセントともに落ち込んでいるが、夏以降の推移次第で判断は変わってくる(図3)。macOSもiOSと似た動きをみせている(図4)。

【次ページ】脆弱性報告=リスク大、なのだろうか?

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます