Apple Computerは米国時間3月1日、Mac OS Xに存在していた脆弱性を修正するセキュリティアップデートを公開した。だが、実はこれが根本的に問題を解決するものではなかったため、いまだに攻撃の足がかりが残さていると、一部のセキュリティ専門家が述べている。
Appleは1日に、Mac OS Xに見つかっていた合わせて30件の脆弱性を修正するセキュリティアップデート(Security Update 2006-001)を公開した。このバッチが出される2週間ほど前から、同OSの安全性に対する厳しい目が向けられていたが、これはMac OS Xを狙うトロイの木馬やワーム、さらにはウェブサイトにアクセスしただけで悪質なコードをインストールされる可能性のある脆弱性などが立て続けに見つかったことによる。セキュリティ監視会社のSecuniaではこの脆弱性の深刻度を「きわめて重大」としていた。
このアップデートでは、Appleのウェブブラウザ「Safari」や電子メールクライアントの「Mail」、インスタントメッセージ(IM)ツールの「iChat」に、新たに「ダウンロード確認」機能が追加された。この変更により、ユーザーが誤って悪質なプログラムにつながるリンクをクリックすると警告が出されるようになった。それ以前は、リンクをクリックするとそのまま悪質なプログラムがダウンロードされ、自動的に実行されてしまっていた。
しかし、複数のセキュリティ専門家らは、Appleがこの問題の重要な部分を解決していないと述べている。この問題はもっと深い、OSのレベルで対処されるべきだというのが彼らの考えだ。このため、実際には悪質なアプリケーションでありながら、それを静止画や動画のような安全と思えるファイルに見せかけることがいまだに可能だという。
「Appleは確かにファイルのダウンロードから実行に至るプロセスにチェックポイントを設けはしたが、この脆弱性を取り除いたわけではない」と、セキュリティ専門会社CybertrustのアナリストKevin Long氏は言う。同氏は11年来のMacユーザーだ。「ユーザーがだまされて、画像に見せかけられたファイルを開くと、実はそれが悪質なスクリプトだった、という可能性も残されている」(Long氏)
Appleが公開したこのセキュリティアップデートの適用後は、SafariやMail、iChatを使っていて、悪質と思われるファイルをダウンロードしようとすると、ほとんどの場合アラートが表示される。しかし、すべてのアプリケーションがそうであるとは限らない。ウェブブラウザの「Firefox」や、電子メールクライアントの「Thunderbird」、IMソフトの「Yahoo Messenger」、ファイル交換ツールの「LimeWire」のユーザーも、これらのアプリケーションを介してファイルを受け取ることが可能だが、これらのアプリケーションでは警告は表示されない。
またSafariでは、「ダウンロード後、"安全な"ファイルを開く」という環境設定のオプションが無効になっている場合には、アラートが表示されない。セキュリティ専門家らは、最初にこの脆弱性の詳細が明らかになった時点で、その回避策としてこのオプションを無効にするようにSafariユーザーに促していた。
しかし、「(この問題を)懸念しているAppleファン」と名乗るCNET News.comの読者からは、このバッチが限定的であることについて指摘があり、またセキュリティ専門家らもこの問題の存在を認めた。
Appleは、このセキュリティアップデート適用後も、依然として悪質なファイルがそうでないように見える可能性が残っていることを認めた。
「Macでもあるいは他のプラットフォームでも、あるアプリケーションをつくりそれを別のタイプのファイルに見せかけようとすることは確かに可能だ。トロイの木馬とはそうしたものだ」とAppleのPhilip Schiller氏(ワールドワイド・プロダクトマーケティング担当シニアバイスプレジデント)は、あるインタビューのなかで語った。「この世界にはトロイの木馬がある。Macで成功したという例を見たことはないが、この世界にはトロイの木馬のようなものが確かにある」(Schiller氏)
ただし、AppleはSafariやMail、iChat向けにセキュリティアップデートを出したことで、トロイの木馬などのアクセスを遮断したと考えている。「ほとんどのユーザーが使うこれらのツールには(現在)検証の仕組みが内蔵されており、それを通らなければファイルがデスクトップにダウンロードされることはない。ユーザーは、ブラウザや電子メールソフト、IMソフト経由でファイルを入手することが多い」(Schiller氏)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
日本のキャッシュレス化の未来--「現金大国」が世界に追いつくための課題と道筋 
グーグル「Pixel 9 Pro Fold」、初代モデルからの進化ぶりをチェック 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発