Appleは、新たに開始されたApple Security Research Device Program(SRD)の一環として、承認されたセキュリティ研究者向けに特別版iPhoneをリリースすると発表しました。昨年のBlack Hat情報セキュリティカンファレンスで発表されたこのSRDは、セキュリティ研究者が独自のツールを実行できるよう、主要なセキュリティコントロールを無効化した標準版iPhoneです。Appleは、プログラムへの参加が認められた研究者に対し、SRDを1年間更新可能な形で貸与します。
非公開の説明会で、Apple は SRD プログラムに関する追加の詳細と背景を説明しました。
SRDを取得できるのは誰ですか
Appleは、「システムセキュリティ」研究の実績があれば、iOSの経験がほとんどない、あるいは全くない方でも応募を歓迎すると述べている。このプログラムには2つの主要な目標がある。iOS研究のハードルを下げることで、他のプラットフォームでの経験を持つ人々に機会を提供すること、そして既存の研究者にとってセキュリティ研究をより効率的にすることだ。
これまで、研究者の選択肢は主に2つに限られていました。標準的な安全なデバイスを使い、ほぼ盲目的に攻撃するという方法ですが、これはせいぜい非効率的でした。あるいは、脱獄デバイスに頼る方法もありました。脱獄デバイスは、ハードウェアとソフトウェアのバージョンが以前のものに限定されることが多く、脱獄は深刻なセキュリティ上の脆弱性であり、Appleは迅速に修正パッチを当てる傾向があるためです。
SRDと通常のiPhoneの違い
SRDには、ハードウェアとソフトウェアの複数レベルでのコード実行および封じ込め機能がないため、研究者が独自のツールチェーン(一般的な研究ツールを含む)を実行できません(これらのツールはプラットフォーム用にコンパイルする必要があると想定されます)。例えば、SRDにはターミナルシェルが標準装備されているため、研究者は幅広いデバッグツールを活用し、通常はアクセスできない低レベルのログにアクセスできます。例えば、研究者はデバイス上に完全なネットワークモニターを展開することも可能です。
研究者は、開発者には決して提供されないApple独自の権限を含む、任意の権限でツールを実行することもできます。権限は、iOSにおけるサンドボックス化の鍵となる機能であり、アプリケーションの操作を制限するものです。
SRD は iOS 14 をサポートしますが、通常のコンシューマー ビルドではすべてのセキュリティ制御が有効になっているため、Apple が提供する特別なバージョンの iOS を実行する必要があります。
SRDが研究者にとってどのように役立つか
SRDプログラムの興味深い点の一つは、従来のデバイスセキュリティの枠を超えたApple iOSエコシステムに関する研究を可能にする点です。例えば、2019年には、Citizen Labが、チベットのグループが政府支援のモバイルマルウェアの標的となっており、iOSデバイスへの攻撃もその一つであることを発見しました。
SRDは、研究者がセキュリティツールを実行し、こうした種類の攻撃をより適切に特定・調査するのに役立つ可能性があります。従来の脆弱性探索とは異なるこの種の調査全般をAppleが支援するかどうか尋ねられたところ、同社の担当者は「Appleはユーザーのセキュリティを支援しています。これは強力な調査と言えるでしょう」と回答しました。
追加の詳細
私たちの議論では、他にもいくつか興味深い点が浮かび上がりました。
- SRDは「最新のハードウェア」に基づいています。Appleは特定のモデルを指定していませんが、顧客の利用状況を反映するためにハードウェアを最新の状態に保つことが重要だと述べています。Appleが将来、新型iPhoneをリリースする可能性は低く、SRDもアップデートされる可能性が高いでしょう。
- 研究者はAppleに脆弱性を報告し、修正プログラムが利用可能になるまで公開を控える必要があります。これはSRDを使用して発見された脆弱性にのみ適用され、独自に発見された脆弱性には適用されません。事前に設定されたタイムラインで脆弱性を公開するポリシーを持つ研究者は、その慣行を変更しない限り、このプログラムに参加することはできません。
- 研究者は、デバイスにインストールするApp Storeアプリの利用規約を遵守する必要があります。Appleは独自の制限を設けていません。研究者は脆弱性を発見した場合、ベンダーとAppleの両方に報告することが求められます。
- Appleは、デバイスへの基本的なアクセスに加え、Appleのセキュリティエンジニアが参加する専用フォーラムでこのプログラムをサポートしています。Appleのセキュリティリーダーも、プログラムに関するフィードバックを提供しています。
- AppleはSRDの生産台数を未定としており、初期生産数はプログラム全体を代表するものではありません。同社は状況に応じて評価と拡大を継続する予定です。私の推測(間違っている可能性もありますが)では、プログラムは当初は比較的小規模で、時間の経過とともに拡大していくでしょう。
建設的な進歩だがリスクも伴う
全体的に見て、これはAppleにとって非常に前向きな動きだと私は考えています。iPhoneのように厳重にロックダウンされたデバイス向けのツールチェーンを構築するのは非常に困難です。セキュリティを深く破り、何らかのインストルメンテーションをインストールするまでは、事実上、目隠し状態で作業することになるからです。SRDが説明されている通りに機能すると仮定すると、iOSセキュリティ研究における主要な障害の多くを取り除き、私たち全員にとってより優れたセキュリティを提供する発見につながる可能性があります。
全体として、Appleのプログラム要件と制限は妥当であるように思われ、実際にどのように機能するかを見るのが楽しみです。しかし、Appleが脆弱性を放置している間、プログラム制限によって一部の研究者の活動が抑制されるというリスクも存在します。近年、Appleは問題解決においてかなり良好な実績を上げていますが、この懸念を一概に否定することはできません。
マイケル・ツァイ氏が指摘するように、この制限により、プログラムメンバーが独自に発見した他のiOS脆弱性情報を公開することが妨げられる可能性があります。研究者は、独自発見の出所を裏付ける確固たる記録を欠いており、Appleの制限に窮屈さを感じる可能性があります。
最後に一言。Appleのこのプログラムへのアクセスは、今後も厳しく制限されるとは考えていません。このような機会は、iOSの脆弱性に対して既に多額の報奨金を支払っている悪意のある政府や民間組織によって悪用される危険性をはらんでいます。SRDは、悪意のある行為者にとっての障壁を低くすることなく、Appleのエコシステムのセキュリティ向上に貢献する研究の障壁を軽減します。