今週に入ってGitHubにiOSのソースコードの一部がアップロードされ、悪意あるハッカーが脆弱性を探すのに使われるのではないかという懸念が広がっていた。TechCrunchの取材に対し、Appleはこれが事実iOSのソースコードであることを確認した。ただし問題のソースコードはiOSの古いバージョンを作動させるソフトの一部だったという。
AppleがGithubに対しDMCAによる著作権違反通告を行ったため問題のファイルはすでに削除されている。しかしAppleが秘密保持に関してきわめてガードが固い企業として知られてきただけに、この件は精査に値するだろう。現在は削除されているとはいえ、ソースコードが本物であれば、すでに被害は発生してしまったのではないか?
iBootと名付けられたソースコードに最初に気づいたMotherboardなどが、iOSに関して著作がある専門家、Jonathan Levinに取材した。Levinはこれが本物らしいと認め、「大問題だ」と述べた。このソースコードは非常に短かいもので、おそらくiOSにおけるBIOSないしブートローダーと思われるが、Appleの手の内を知る手がかりになることは間違いない、という。
AppleはTechCrunchに対するコメント中で「3年前の古いソースコードがリークしたが、われわれのセキュリティーはソースコードを秘密にすることに依存するデザインではない。Appleのプロダクトには内容を保護するために多数のハードウェア、ソフトウェアのレイヤーが設けられている。効果的にこうした保護を受けるために、ユーザーは常にソフトウェアを最新の状態に保つことが推奨されている」と述べた。
事実、このソースコードが3年半前にリリースされたiOS 9に関するものらしいと判明してセキュリティー上の懸念は薄らいだ。Appleはその後、間違いなくソースコードを書き換えているはずだ。またApple自身の統計によれば、ほとんどのユーザー(93%)はiOS 10かそれ以降のリリースのOSを利用している。そうであっても、リークされたソースコードには最新のバージョンとの共通点が残っている恐れがある。これがiPhoneのセキュリティーに関してネガティブな影響を与える可能性はなかったのだろうか。
セキュリティー専門家のWill StrafachはTechCrunchの取材に対し「このソースコードはハッカーがiOSのブートローダーの働きを理解するために役立つだろう」と述べた。またAppleは知財権保護の観点からこのリークを苦々しく思っているはずだとした(DMCA通告についてはわれわれも上で触れた)。ただしStrafachはリークはiPhoneユーザーのセキュリティーに深刻な影響を与えるものではないとしてメールで以下のように述べた。
ユーザーに関していえば、このリークは特に利益も不利益も与えるものではない。Appleも述べているとおり、iOSのセキュリティーはソースコードを秘密にすることで守られているわけではない。iOSのブートローダー部分が人間に読みやすい形で記述されているというだけで、格別大きなリスクを含む部分はない。エンドユーザー・デバイスの内部はパスワードで保護され、暗号化されており、悪意の有無を問わず保護を迂回してアクセスすることは不可能だ
つまりiOSのセキュリティー守るためAppleは多数の保護レイヤーを設けるアプローチを採用しており、Githubにアップロードされたようなソースコードだけでそれを破るのは不可能だというわけだ。もちろんStrafachも適切に指摘しているとおり、Appleにとってこうしたリークは、公開されていた時間がごく短いとはいえ、大いに不快だっただろう。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)
