「特別なiPhone」をセキュリティ専門家に配布？macOS向けバグ報奨金プログラムも発表のうわさ

アップルがセキュリティ保護の観点から、2つの施策を今週後半のセキュリティ関連カンファレンスBlack Hatにて発表するとの噂が報じられています。

米経済メディアForbesによると、1つはハッキング対策のための特別な権限をあらかじめ設定したiPhoneをセキュリティ専門家に配布すること。もう1つはmacOS向けの新たなバグ報奨金プログラムと伝えられています。

1つ目の「特別なiPhone」が配布されるのは、アップルのバグ報奨金プログラムに登録しているセキュリティ専門家が対象とのこと。本プログラムは2016年のBlack Hatにて発表されたもので、最高20万ドルもの報奨金を得られる可能性があります。

では「特別なiPhone」とは何か。Forbesの情報源によると「dev devices（開発用デバイス）」であるとのこと。これは市販されているiPhoneよりもはるかに多くの権限がユーザーに与えられており、普通は簡単にアクセスできないOSの一部を調べることができるもの。

そうしたForbesの説明に少し補足をしておくと、市販品のiPhoneは出荷段階でiOSに多くのセキュリティが掛けられており、ユーザー権限に制約が加えられています。このセキュリティが施される以前の、ユーザー権限への制約が緩いデバイスが「開発用デバイス」ということです。

そしてiOSに悪意ある攻撃を仕掛けるハッカーは、セキュリティを突破してシステムを完全に制御できる管理者（Root）権限を持っている（いわゆる「脱獄」）と考えられます。そこでアップル側のセキュリティ研究者も「開発用デバイス」を使うことで近い地点からスタートでき、ハッカーがiOS本体に攻撃を仕掛けたとき、コードレベルで何が起こるかを確認できるわけです。

ただ、配布される開発用デバイスはアップル社内スタッフが使用するものとは完全に同一ではない「ライト」バージョンになるとのこと。たとえば、iPhoneのハードウェアに深く関わるファームウェアまではアクセスさせないようです。

さらにForbesによると、この動きは開発用デバイス流出への対策も兼ねている可能性があるようです。以前テック系情報メディアMotherboardは、開発用iPhoneが盗み出されて何千ドルもの高値で取引されている実情を報じていました。そこでアップル自らが認定したセキュリティ専門家に配布して管理下に置き、闇取引に対抗する狙いがあるとも推測されます。

もう1つのセキュリティ対策であるmacOSのバグ報奨金プログラムは、これまでなかった精度です。2016年に発表された上記プログラムも、実はiOSのみに限られていました。

今年3月にmacOS Mojaveのキーチェーン脆弱性を発見したLinus Henze氏も、釣り合いの取れた報酬を求めたもののアップルに黙殺され、やむなく全情報とパッチを無償で提供することに。そんなHenze氏の行いに称賛が集まる一方で、アップルはmacOSユーザーのセキュリティを軽視しているのではないかとの批判が寄せられていた経緯があります。

アップルのセキュリティ技術責任者Ivan Krstic氏はBlack Hatでの「iOSとMacのセキュリティの舞台裏」講演にて、iPhoneとMacのセキュリティに関する「前例のない技術的詳細」を語ると約束しています。ますます熾烈となるハッカーとの戦いに備えて、在野のセキュリティ専門家の協力を広く求める新たな試みも発表されるのかもしれません。