9to5MacのZac Hall氏がHomeKitの重大な脆弱性を発見した後、Appleはサーバー側でこの脆弱性を修正しました。しかし、この修正によって、他のユーザーにHomeKitデバイスへのリモートアクセスを許可できなくなるという残念な副作用が発生しました(2017年12月8日の記事「HomeKitの脆弱性が発見され、既に修正済み」参照)。Appleは現在、このセキュリティ上の欠陥を修正したiOS 11.2.1とtvOS 11.2.1をリリースし、共有ユーザーによるリモートアクセスは引き続き許可しています。
iPad、第 4 世代 Apple TV、または Apple TV 4K をリモート アクセス用の HomeKit ハブとして使用できるため、iOS と tvOS が一緒に更新されたのは理にかなっています。
Appleと9to5Macはどちらも意図的に曖昧な表現を使っていたため、このエクスプロイトの正確な内容が気になっていました。スティーブ・トラウトン=スミス氏はTwitterで、メールアドレスだけで遠隔操作でシーンを起動できることを明らかにしました。「A Prairie HomeKit Companion: Core Concepts」(2016年11月3日)で説明したように、HomeKitのシーンはマクロのようなもので、複数の処理を同時に実行します。例えば、照明を点灯させるなどです。もしあなたの玄関にHomeKit対応のロックが付いていて、それにシーンが紐付けられていたら、攻撃者は世界中どこからでも玄関のドアの鍵を開けることができたかもしれません!
iPad Proでは、iOS 11.2.1アップデート(サイズ60.2MB)を「設定」>「一般」>「ソフトウェア・アップデート」またはiTunesから入手できます。今回のアップデートで修正されたのはHomeKitの脆弱性のみです。同様に、tvOS 11.2.1は「設定」>「システム」>「ソフトウェア・アップデート」からインストールできます。繰り返しますが、今回のアップデートでAppleが修正したのはHomeKitの脆弱性のみです。HomeKitをご利用でない場合は、これらのアップデートをインストールする必要はないでしょう。
「A Prairie HomeKit Companion」シリーズでHomeKitについて長々と書き、他のホームオートメーションソリューションよりも優れたセキュリティを謳ってきた私としては、残念ではあるものの、それほど驚きはしていません。脆弱性は避けられません。幸いなことに、Appleは責任ある企業なので、問題は迅速かつオープンに解決されました。とはいえ、HomeKit対応のロックで自宅を安全にすることには、依然として不安を感じています。