先月、厄介な FaceTime のバグが発見された。これは、FaceTime の発信者が、着信音が鳴っている間、つまりあなたが電話を受けるか拒否するかを決める前に、あなたのデバイスからの音声を聞くことができるというものだった (2019 年 1 月 29 日の記事“Apple、グループ FaceTime を無効化して明白なプライバシーホールをブロック”参照)。このバグは iOS 12.1 で導入されたグループ FaceTime 機能に関係していた (2018 年 10 月 30 日の記事“Apple、iOS 12.1、macOS 10.14.1、watchOS 5.1.1、tvOS 12.1 をリリース”参照)。そこで Apple は、自社のエンジニアたちがこの問題を解決している間、自社側でグループ FaceTime を無効化した。
現在、Apple は TidBITS への声明で、この問題を解決し、グループ FaceTime を近々再び有効にする予定であると発表した。
Appleのサーバー上で発生していたグループFaceTimeのセキュリティバグを修正しました。来週、ユーザーの皆様に再度ご利用いただけるソフトウェアアップデートをリリースいたします。バグをご報告いただいたトンプソン一家に感謝申し上げます。影響を受けたお客様、そしてこのセキュリティ問題についてご心配をおかけした皆様に心よりお詫び申し上げます。このプロセスが完了するまで、皆様のご理解とご協力をお願いいたします。
トンプソン一家とは誰でしょうか?これは、このバグを最初に発見した14歳のグラント・トンプソンのことを指しています。グラントと母親のミシェルはAppleにこのバグについて報告しようとしましたが、Appleのバグ報告プロセスによって阻まれました。ミシェル・グラントが2019年1月20日に投稿したツイートがこちらです。
その後、「Appleの上級幹部」がトンプソン家を訪問し、個人的に感謝の意を表し、フィードバックを得ました。Appleは、グラント・トンプソン氏がバグ報奨金制度の対象になることを発表しました。この制度は通常、招待された研究者のみを対象としており、報告された脆弱性ごとに最大20万ドルが支払われます(「Apple、バグ報奨金プログラムを開始」、2016年8月5日参照)。これは大学の学費を賄う一つの方法です!
Appleの声明は次のように続く。
エンジニアリングチームは、バグの再現に必要な詳細情報を把握次第、グループFaceTimeを直ちに無効化し、修正作業を開始しました。ご報告を受領し、適切な担当者に速やかに届けられるよう、プロセスの改善に尽力いたします。私たちは製品のセキュリティを極めて真剣に受け止めており、Appleのお客様から寄せられる信頼を今後も確実に得られるよう尽力してまいります。
Apple によるこの事件への対応は、次の 3 つの理由で注目に値します。
- Appleは、この問題が周知の事実となってから1時間以内に対応し、自社のサーバー上でブロックすることができました。これは、Appleがサーバー側の制御機能を用いて、Appleの利用規約に違反し、ユーザーのプライバシーを侵害していたFacebookとGoogleのアプリを無効化したのと同じ週に起こりました(「Apple、重大なポリシー違反によりFacebookの社内アプリをシャットダウン」、2019年1月30日参照)。
- Appleは、トンプソン一家によるバグ発見を公式に認めました。10年以上前、Appleはセキュリティ上の脆弱性を発見した研究者を通常は認めていませんでした。しかし、この方針が変更されただけでなく、社内で不適切な対応があったにもかかわらず、Appleは公式声明でトンプソン一家に功績を認めています。
- Appleは声明の中で、セキュリティバグ報告プロセスに欠陥があり、改善が必要であることを認めています。Appleはセキュリティ研究者との連携や脆弱性管理プロセスの改善において大きな進歩を遂げてきましたが、バグ報告に関しては依然として問題を抱えています。Appleの現在のシステムでは、バグ報告はApple Developerアカウントから行い、専用のバグ報告システムを使用して共有する必要があります。これは、セキュリティ専門家(およびセキュリティ愛好家)にとっての障害にとどまりません。今回の事件によってさらに明らかになったように、一般ユーザーからの報告を妨げ、一般的なバグの海に埋もれてしまうような深刻な問題を社内で適切にエスカレーションすることを阻んでいます。
Appleは脆弱性を迅速にブロックしたため、Appleの回避策が有効になってから数時間経っても、Twitterのフィードにはこの脆弱性を批判する投稿が溢れていました。これは深刻なセキュリティ上の欠陥でしたが、Appleは迅速に対応しました。同社の声明とトンプソン氏ご遺族への働きかけからも、当初の報告処理の不備を認識し、今後プロセスを改善する意向が伺えます。Appleがこの意図を実行するかどうか、今後の展開に注目が集まります。