Mac OS Xのセキュリティアップデートは不完全--専門家が指摘

文:Joris Evers(CNET News.com)
翻訳校正:坂和敏、尾本香里(編集部)
2006年03月08日 19時59分
  • このエントリーをはてなブックマークに追加

 Apple Computerは米国時間3月1日、Mac OS Xに存在していた脆弱性を修正するセキュリティアップデートを公開した。だが、実はこれが根本的に問題を解決するものではなかったため、いまだに攻撃の足がかりが残さていると、一部のセキュリティ専門家が述べている。

 Appleは1日に、Mac OS Xに見つかっていた合わせて30件の脆弱性を修正するセキュリティアップデート(Security Update 2006-001)を公開した。このバッチが出される2週間ほど前から、同OSの安全性に対する厳しい目が向けられていたが、これはMac OS Xを狙うトロイの木馬やワーム、さらにはウェブサイトにアクセスしただけで悪質なコードをインストールされる可能性のある脆弱性などが立て続けに見つかったことによる。セキュリティ監視会社のSecuniaではこの脆弱性の深刻度を「きわめて重大」としていた。

 このアップデートでは、Appleのウェブブラウザ「Safari」や電子メールクライアントの「Mail」、インスタントメッセージ(IM)ツールの「iChat」に、新たに「ダウンロード確認」機能が追加された。この変更により、ユーザーが誤って悪質なプログラムにつながるリンクをクリックすると警告が出されるようになった。それ以前は、リンクをクリックするとそのまま悪質なプログラムがダウンロードされ、自動的に実行されてしまっていた。

 しかし、複数のセキュリティ専門家らは、Appleがこの問題の重要な部分を解決していないと述べている。この問題はもっと深い、OSのレベルで対処されるべきだというのが彼らの考えだ。このため、実際には悪質なアプリケーションでありながら、それを静止画や動画のような安全と思えるファイルに見せかけることがいまだに可能だという。

 「Appleは確かにファイルのダウンロードから実行に至るプロセスにチェックポイントを設けはしたが、この脆弱性を取り除いたわけではない」と、セキュリティ専門会社CybertrustのアナリストKevin Long氏は言う。同氏は11年来のMacユーザーだ。「ユーザーがだまされて、画像に見せかけられたファイルを開くと、実はそれが悪質なスクリプトだった、という可能性も残されている」(Long氏)

 Appleが公開したこのセキュリティアップデートの適用後は、SafariやMail、iChatを使っていて、悪質と思われるファイルをダウンロードしようとすると、ほとんどの場合アラートが表示される。しかし、すべてのアプリケーションがそうであるとは限らない。ウェブブラウザの「Firefox」や、電子メールクライアントの「Thunderbird」、IMソフトの「Yahoo Messenger」、ファイル交換ツールの「LimeWire」のユーザーも、これらのアプリケーションを介してファイルを受け取ることが可能だが、これらのアプリケーションでは警告は表示されない。

 またSafariでは、「ダウンロード後、"安全な"ファイルを開く」という環境設定のオプションが無効になっている場合には、アラートが表示されない。セキュリティ専門家らは、最初にこの脆弱性の詳細が明らかになった時点で、その回避策としてこのオプションを無効にするようにSafariユーザーに促していた。

 しかし、「(この問題を)懸念しているAppleファン」と名乗るCNET News.comの読者からは、このバッチが限定的であることについて指摘があり、またセキュリティ専門家らもこの問題の存在を認めた。

 Appleは、このセキュリティアップデート適用後も、依然として悪質なファイルがそうでないように見える可能性が残っていることを認めた。

 「Macでもあるいは他のプラットフォームでも、あるアプリケーションをつくりそれを別のタイプのファイルに見せかけようとすることは確かに可能だ。トロイの木馬とはそうしたものだ」とAppleのPhilip Schiller氏(ワールドワイド・プロダクトマーケティング担当シニアバイスプレジデント)は、あるインタビューのなかで語った。「この世界にはトロイの木馬がある。Macで成功したという例を見たことはないが、この世界にはトロイの木馬のようなものが確かにある」(Schiller氏)

 ただし、AppleはSafariやMail、iChat向けにセキュリティアップデートを出したことで、トロイの木馬などのアクセスを遮断したと考えている。「ほとんどのユーザーが使うこれらのツールには(現在)検証の仕組みが内蔵されており、それを通らなければファイルがデスクトップにダウンロードされることはない。ユーザーは、ブラウザや電子メールソフト、IMソフト経由でファイルを入手することが多い」(Schiller氏)

  • このエントリーをはてなブックマークに追加