テクノロジー

昨日当ブログでもお伝えした、iOSの起動の際に署名確認を司るセキュリティの要といわれているiBootのソースコードがGitHubで流出した事件が話題を呼びました。このソースコードを使うことで、善玉セキュリティ研究者だけではなく、悪玉ハッカーもiOSの脆弱性を見つけやすくなってしまうからです。Apple史上最悪のセキュリティ事件とも呼ばれているほどの衝撃が走りましたが、Appleはそれについて認めつつも、独自の見解を披露しています。

Motherboardによると、昨日、GitHubのユーザがAppleのiBoot（iBoot second-stage loader）のソースコードをリークしました。また、その事実についてハッカーのジョナサン・レヴィン（Jonathan Levin）氏もTwitterに投稿しています。iBootとは、OS（オペレーティングシステム）の起動の際にAppleの署名を確認して信頼性を高めるもので、iOSのセキュリティの非常に重要な部分といえます。これはApple史上最大のセキュリティ事件になるかもしれません。

The Vergeが報じたところによると、法廷宣誓供述書とアラスカのアメリカ連邦地方裁判所に関連裁判書類から、連邦捜査官がロシアのiCloudユーザ、ピーター・レバショフ（Peter Levashov）がKelihosに接続した容疑で、同氏のアカウントにアクセスできるよう要求していたことがわかりました。Kelihosとは、コンピュータに感染するとスパムのホストになってしまい、マルウェアやその他のマルウェア的なコンテンツを発信するようになるというマルウェアの1つです。

FBIとAppleといえば、AppleがFBIの公共安全のための要請があったにもかかわらず、iPhoneのロック解除の拒絶をしたことにより裁判に発展するなど、油と水のような関係でお互いうまくいかないというイメージしかないかもしれません。また数日前のニュースでは、FBI内部の人物がAppleのやり方を”くそったれ”と罵ったことから、そのイメージを更に強くしました。しかし本日のフォーブス（Forbes）の記事によると、FBI内部でも、FBIとAppleの関係について違った見解を持った人もいるようです。

Appleは毎年多くのリソースを割いてセキュリティを確保しているといえますが、ソフトウェアにバグがなかったり、悪意のあるソフトウェアに絶対攻撃されないということはあり得ません。例えば、本日ネット上に現れたリンクをクリックしてしまうと、iPhoneとMacで様々な問題が発生してしまうという新たな”いたずら”が発生しています。そしてこのリンクをクリックすることによって、冗談ではなく、端末がフリーズしたり、極端に動きが遅くなったり、自動的に再起動したり、バッテリーが消耗するなどの問題が発生します。

4日ほど前に、私の中国用iCloudアカウントのメールアドレスに、2018年2月28日からiCloudの運営提携先企業がGCBDに変更となるという通知メールがAppleから届きました。しかも丁寧に日本語に訳されています。iCloudの運営会社がGCBDに変更されることで、iCloudのスピードと信頼性を引き続き向上させ、また、中国の規制を遵守することが可能になる、とされています。

MacRumorsの報道によると、AppleのMac用で現行の最新正式版OS、macOS High Sierra 10.13.2において、App Storeのシステム環境設定で、設定をロックしていても、任意のパスワードでロック解除ができ、設定変更ができてしまうバグが発見されました。

Appleは本日2018年1月9日未明、macOS High Sierra 10.13.2追加アップデートをリリースしました。バージョンが変わらず追加アップデートとなった理由は、このアップデートが重大なCPUのセキュリティホール”Meltdown”の緊急セキュリティパッチであることを意味しています。

Appleは日本時間本日2018年1月9日未明に、モバイルデバイス用OS、iOS 11.2.2正式版をリリースしました。iOS 11.2としては二度目の小数点2桁のアップデートとなりました。iOS 11としては通算9つ目のバージョンアップとなります。一つ前のバージョン、iOS 11.2.1が12月14日にリリースされてから、26日でのリリースとなりました。これはセキュリティ・アップデートが優先されたことから急遽リリースされたため、イレギュラーな日程になったと思われます。

セキュリティ界隈に限らず、テック業界全体でここ2〜3日話題になっている、ここ15年ほどで製造・販売されたインテル（Intel）のチップに全て存在する致命的なセキュリティホール”KPTI”。これを利用した”Meltdown”と”Spectre”によって、普通はアクセスできないカーネルメモリに入ったユーザに関する重要なデータを盗み出されてしまう可能性があります。そして問題はこのセキュリティホールは修復可能なのですが、修復パッチを適用すると、CPU性能が5〜30％と大幅に落ちる可能性があるのです。

Appleは本日、macOS High Sierra向けに緊急セキュリティアップデートパッチ、”Security Update 2017-001″をリリースしました。macOS High Sierraをお使いの全ての人に速やかなセキュリティアップデート適用が推奨されています。該当する人はすぐにでもアップデートすることを強くお勧めします。

昨日、fastlane.toolsの創業者、Felix Krause氏が、自身のブログで、iOSの脆弱性を突くApple IDパスワードを盗むフィッシング詐欺の手法とその防御方法を公開しました。

長らくiOS 10の新しい脱獄ツールが出ていませんでしたが、ここにきて動きが出ています。脱獄デベロッパのJonathan Levinが本日、Twitter上で新しい情報を出し、Google Project ZeroチームのIan Beerが発見したlibxpcという脆弱性によって、1つ前のiOS、iOS 10.3.2の脱獄が可能になったというのです。

Redmond Pieの報道によると、2017年7月25日に米国ラスベガスで行われたDEFCONハッカーセキュリティカンファレンスで、ハッカーのMax Bazaliy氏が、Appleのウェアラブルデバイス【Apple Watch】の脱獄（ジェイルブレイク、Jailbreak）に成功したことを発表しています。

昨日のSputnik Newsによれば、同様に”Vault 7″に関する機密文書のうち、”Imperialプロジェクト”が先日ウィキリークスで暴露され、そのことでCIAはAppleのシステムのディスクイメージにトロイの木馬を仕掛けることができていたことが明らかになりました。そして今回の暴露により、CIAには“Achilles（アキレス）”、“SeaPea（ハマエンドウ）”と“Aeris（エアリス）”と名付けられた3つのスパイウェアが存在することも判明しています。