Appleは今日(米国時間11/18)、先週Mac App Storeで起きたMacの一部デスクトップアプリが動作しなくなる問題について公式見解を発表した。問題のアプリを実行しようとしてエラーメッセージを受けたユーザーは、コンピューターを再起動し、Mac App Storeから再認証を受けなければならなかった。本誌が既に報じた通り、問題は当初疑われたセキュリティー認証の失効によるものだけではなく、新しい認証方式への移行に際して、そこに実装されている強力な暗号方式に一部のデベロッパーが対応していなかったためだった。
Appleは予想された通り、Mac App Storeデベロッパーに向けて謝罪と詳細説明のメールを送った。
メール中Appleは、古い認証の失効を予測して9月に新たな認証を発行したと言った。古い認証はSHA-1というハッシュアルゴリズムを使用していたが、新しい認証はSHA-2にアップグレードされていた。OpenSSLは2005年にSHA-2への対応を始めたため、Appleはこの移行が問題になるとは考えていなかった。
メール文には、Appleがデベロッパーを微妙に辱める「一部のアプリは〈非常に〉古いバージョンのOpenSSLを使用したレシート認証コードを動かしていた」(強調は本誌)という表現まであり、続けてこの問題のため木曜日(米国時間11/12)にSHA-1に戻さなくてはならなかったとことを指摘している。
またメールには、キャッシュ問題のために、新しい認証が有効になった際、Mac App Storeのエンドユーザーは再起動とストアでの再認証によって、システム上の失効した情報を削除する必要があることも伝えている。実際のこれは別の問題だ ― Mac App Storeのアプリが停止した直後には明らかにされていなかった。現在Appleは、このキャッシュ問題にはMac OS Xのアップデートを通じて対応すると言っている。
さらにAppleは、AppleCareチームがこの問題に対する最新のトラブル対策情報を入手していることを伝え、デベロッパーには、レビューを迅速に進めるために、レシート認証プログラミングガイドへの準拠を確認してからアプリを再申請するよう依頼した。
2つの問題は、単一組織が管理する集中型アプリケーション配布方式の弱点を浮き彫りにした。Apple側の問題や変更が、エンドユーザーのコンピューターにインストール済みのアプリに影響を与える単一障害点となってしまった。大局的には旧認証方式に戻すことで比較的早く復旧した小さな問題ではあるが、同時に、AppleがMacアプリのデベロッパーコミュニティーに公の場で話す方法、例えば公式Twitterアカウントを持っていない、という事実を表面化させる結果となった。
[原文へ]
(翻訳:Nob Takahashi / facebook)