アップルがグーグルのiOS脆弱性発表に「ウイグルだけの話」と反論

先週、iOSの脆弱性から数年間もiPhoneが密かにハックされていたという詳細な研究をGoogle(グーグル)が発表したことに対して、Apple(アップル)が不快げな反論を公表した。このiOSの脆弱性はは悪質なサイトを訪問するだけでルート権限を奪われるという深刻なものだった。

Appleは反論の中で「我々はユーザーが事実を把握することを望む」と述べているが、おかしな話だ。もしGoogleの研究チームが詳細な研究結果を発表しなかったら、こうした事実は一切ユーザーの目に触れることはなかったはずだ。

Appleは短い記事で「一部から(iOSのセキュリティがについて)懸念が出ているが、なんら危険はないと知ってもらいたい」と述べている。

Appleによれば「このハッキングはごく狭い範囲の特殊な条件を前提としており、大規模な攻撃には適さない。この攻撃を成功させたのはわずか10件程度で、すべてウイグルの(ムスリム住民)関連サイトだった」という。 一方、AppleはTechCrunchのiPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑いという記事を事実と認めた。

なるほど、iOSの欠陥を突いた攻撃に成功したのは少数のサイトだけだったかもしれないが、Googleの研究によれば、これらのサイトはそれぞれ毎週何千回も訪問されていた。しかもハッキングは2カ月にわたって続いていた。控えめな計算でも10万台以上のデバイスが侵入を試みられ、脆弱性があればマルウェアを仕込まれていた可能性もある。かりにiPhoneがデバイス100台に1台しかなかったとしても数千人のiPhoneユーザーがルート権限を奪われていたわけだ。これだけの被害が推定できれば十分に「大規模な攻撃」だったと私には思える。

ウイグル住民が主たるターゲットだったら安心せよというのだろうか?中国のある地方全体で宗教や信条を理由として大規模な迫害が行われていることは我々には無関係なのか?

もちろんここで論じられているのはiOSの脆弱性だが、ウイグルのムスリム攻撃ではAndroidデバイスもターゲットとなっていたはずだ。ウイグルのような地域ではiPhoneよりAndroidのほうがはるかにポピュラーなスマートフォンなので、セキュリティ研究者はAndroidに対するハッキングについても調査中のはずだ。

Appleは「(Googleは)当局がスマートフォンを通じて地域の全住民を網羅的にリアルタイムでモニターできるという不安をiPhoneユーザーの間に掻き立てている」と不平を言っている。

しかしこのケースでのGoogleの発表は根拠なく不安を煽っているわけではない。一見正常なウェブサイトを訪問するだけで検知不可能なルート権限奪取が行われるというのはまさに当局によるストーカー行為そのものではないだろうか?ウイグルのiPhoneユーザーが不安を感じても当然だろう。しかもこのような当局によるハッキングの試みがウイグル地域に限定されるという保証は何ひとつない。

Appleは「Googleの通報を受けたときには我々はすでにバグの修正にかかっていた」という。それはそれで大変結構だ。 しかしそれならAppleはそのバグの技術的詳細を他のセキュリティ研究者やユーザーが参考にできるようただちに公表したのだろうか?

Appleは「iOSのセキュリティーは万全」と長年主張してきただけに、ウイグル関連で強力かつ巧妙な攻撃が成功したことについて触れられるのは苦痛だったのだろう。こうした地域全住民をターゲットとするハッキングを行う動機と能力があるのは国家的組織であることはまず間違いない。ウイグル地区で中国政府がイスラム系少数民族に対して厳しい圧迫を加えていることを考えればiPhoneハッキングの背後にそうした背景を考えても不思議ではない。Appleは「セキュリティの追求は終わりなき旅路」だと主張している。しかし知らぬ間にiPhoneを乗っ取られ、行動を逐一モニターされているウイグル住民に対しても「終わりなき旅路」だから気にするなというつもりだろうか?

GoogleのProject Zeroの研究者がハッキングに関する詳細な文書を公表しなければ、我々はこの問題についてまったく知らずに過ぎてしまったことは間違いない。AppleはiOSのマイナーアップデートの無数の「セキュリティの改良」の中にこの問題も埋め込んでしまったはずだ。

iPhoneに対する攻撃は現実に成功し多数の被害者が出ていることが強く推定される。「終わりなき旅路」なのかどうかはともかく、これは深刻なセキュリティ上の問題だった。Appleが防御的になるのは理解できるが、「酸っぱいブドウ」的な負け惜しみを言う前にまず失敗を認めたほうがいい。

原文へ

(翻訳:滑川海彦@Facebook