Apple、Googleの技術者によるiOS脆弱性に関する指摘に反論

　Appleは9月6日、「iOSのセキュリティに関するメッセージ」と題する発表を行った。これは、Googleのセキュリティチームである「Project Zero」のブログが8月28日付で発表した、iOSの脆弱性に関する情報に対応したものだ。

【こちらも】Apple、iOSの脆弱性に対する攻撃をGoogleが誇張していると批判

　きっかけとなったProject Zeroは、ゼロデイ攻撃の削減を目的とした、Googleのチームだ。ゼロデイ攻撃とは、脆弱性が発見され対応策がとられるまでの間に、その脆弱性を悪用する攻撃のことを指す。

　8月29日のブログによれば、iOS 10から12までのバージョンには複数のエクスプロイトチェーンが存在しており、少なくとも2年間にわたり、悪意のある仕掛けが設置されたWebサイトを閲覧するだけで、iOSデバイスが攻撃を受け、通信がモニターされる可能性があったという。

　この問題に対し、Appleは2019年2月7日にセキュリティパッチを施しているものの、その後のモニタリングによって、いまだにその脅威は続いているとされている。

※詳細はProject Zeroのブログ()を参照

　このブログに対応したAppleの発表によれば、

1）指摘された高度な攻撃は非常に限定的なものであり、ブログが言うような広範囲なものではない

2）攻撃期間は「ごく短期間の2カ月」のみであり、指摘のように2年にもわたる長期間のものではない

　としており、Appleは、常にセキュリティを重要なものと捉えており、ユーザーの安全を守るために不断の努力を行っていく、としている。

　ただし、この発表中には、資料となるデータについては、示唆はされているものの含まれてはいない。

　また、Appleはごく小さな範囲とはしているものの、実際に何者かがあるコミュニティのWebサイトへ攻撃を仕掛け、通信をモニターしていたことも、Appleは認めている。GoogleとAppleというライバル同士のこのやりとりが、論争へと発展するかどうかは不分明ではあるが、今後も注目が必要であろう。（記事：kurishobo・記事一覧を見る）