iOSとOS Xにセキュリティ上の重大な欠陥、今すぐアップデートを!
アップルのiOSに深刻な欠陥が見つかり、セキュリティ保護されたメールでも傍受される危険性があったことが明らかになりました。Macにも同様の問題が存在しているようです。英国のGuardianが伝えています。
サーバ攻撃を行うアタッカーが、レストランなどで提供されている安全対策の施されていない無線サービスからモバイルユーザーのネットワークにアクセスした場合、アタッカーはGmailやフェイスブックなどセキュリティ保護されたサイトとユーザーとのやりとりを、閲覧したり改ざんしたりできる可能性があったようです。同様のことを行えるのは、通信事業者のデータへのアクセス権限を持つ行政当局です。
暗号学を専門とするジョンズ•ホプキンス大学のマシュー・グリーン教授は、「想像し得る限り深刻な事態」だと述べています。
アップルは、SSL/TLSで保護されたセッションへの侵入を許すこの欠陥を、いつ、どのように発見したか、またこの欠陥が悪用されたかどうかについて、何もコメントを発表していません。21日(米国時間)にウェブサイトのサポートページに掲載された声明では、「iOSが"接続の信頼性の検証に失敗した"」と述べるにとどまっています。
アップルは21日、iPhone 4以降、第5世代iPod Touch、iPad 2以降向けに、現行iOSのソフトウエアパッチとアップデートをリリースしました。前述のグリーン教授によれば、この修正が実行されなければ、ユーザーがセキュリティ保護されたサイトとメールや金銭的データ等のやりとりを行っている間に、ハッカーがそのサイトになりすまし居座ることを許す危険性があったとのこと。
何人かのセキュリティ専門家は、上記パッチの分析を行った後、Mac OS Xの現行バージョンにも同種の欠陥があると指摘しました。Mac OS X向けのパッチはまだ入手できませんが、近くリリースされるものとみられます。
米セキュリティ企業クラウドストライクの最高技術責任者、ドミトリ・アルペロヴィッチ氏は、今回の欠陥について、「アップルのSSL実装における根本的なバグ」であると指摘。グーグルの上級エンジニアであるアダム・ラングレー氏も同氏の見解に同調しているようです。
アップルはコメントの要求に対し一切の回答を行っていません。十分に解明されているはずのプロトコルの実装で見つかった今回の欠陥は、確かな技術的手腕を持つアップルにとってはきまりが悪い過ちであったようです。
アップルはつい最近、当局によるiPhoneへの侵入は、成功率が100%であることを主張する秘密文書を漏えいされたばかりでした。
