これは、新しいもの好き、というだけではなく、ソフトウェア開発に携わっている関係でなるべく早く試しておくべき事情がある、というのと、もう一つはセキュリティアップデートをできるだけ速やかに適用しておきたいという気持ちからです。
ところが、自分の周りにも面倒だからアップデートはあまりしない、という人が見受けられます。今日は、iOS 7.1.1 がリリースされましたので、そのセキュリティアップデートの内容を引用して、セキュリティアップデートがどれだけ重要なのかについて書いておきたいと思います。
なお、私はセキュリティの専門家ではないので間違っていることを書いていたらごめんなさい。間違いを指摘いただいたら速やかに訂正、修正しますのでご指摘いただければと思います。
そもそもセキュリティアップデートの情報が見つけにくい
Apple のリリースでは、あまりセキュリティについて詳しく触れられることがありません。しかも、日本語サイトではなかなか情報がリリースされないという問題も。今朝、iOS 7.1.1 がリリースされた時点でもリリースメモはリンクが書かれてはいます。
しかし、このリンクの先には iOS 7.1.1 については記載がありませんでした。
Apple セキュリティアップデート (Apple Security Update)
こういう場合は英語サイトで確認すると情報が載っている可能性が高いです。先ほどの URL の最後にある、"?viewlocale=ja_JP" を外してアクセスすると英語サイトを参照することができます。
Apple security updates
今回もここに iOS 7.1.1 に対するセキュリティアップデートの内容へのリンクがあります。
About the security content of iOS 7.1.1
セキュリティアップデートってどういう内容?
セキュリティアップデートの内容を少し見ていきたいと思います。これから「脆弱性」という言葉を使いますが、これは「セキュリティ的に危険があるソフトウェアの弱いところ」と思ってください。
今回、例えば以下のような記述があります。
CFNetwork HTTPProtocol
Available for: iPhone 4 and later, iPod touch (5th generation) and later, iPad 2 and later
Impact: An attacker in a privileged network position can obtain web site credentials
Description: Set-Cookie HTTP headers would be processed even if the connection closed before the header line was complete. An attacker could strip security settings from the cookie by forcing the connection to close before the security settings were sent, and then obtain the value of the unprotected cookie. This issue was addressed by ignoring incomplete HTTP header lines.
CVE-ID
CVE-2014-1296 : Antoine Delignat-Lavaud of Prosecco at Inria Paris
この内容は CFNetwork というライブラリの HTTPProtocol に関する脆弱性について書いてあります。
"Available for" というのはこの脆弱性の対象についての記載です。特定のハードウェアとの組み合わせでのみ発生する場合もあるので、このような記述があるのでしょう。
"Impact" というのは影響です。この脆弱性がどのような影響を及ぼすのか、について専門的な用語で書いてあります。これがそもそもセキュリティアップデートをよく分からなくしている原因なのだと思っています。(とはいえ、平易に書くのは難しいということも分かっているのですが)。
そして、"Description" は何を直したのかが書かれていますが、これまたソフトウェアの言葉で書かれているので普通のユーザの方には分かりにくいでしょう。
最後の "CVE-ID" というのは、この脆弱性に付けられたIDです。MITREというアメリカの団体が発行している脆弱性ごとのIDになります。アメリカだけでなく日本のソフトウェアの脆弱性にもCVE-IDが払い出されています(詳細は割愛しますが、気になる方は JPA の解説 共通脆弱性識別子CVE概説 を読んでみてください)。
このようにいかにも難しく表現されています。これはソフトウェアの世界でのジレンマだと思っていますが、正確に書くとソフトウェア用語の羅列になってしまい一般の人には何だか分からなくなる、でも、一般の人に分かるような用語で書くとソフトウェアの世界の人には本質が何なのか分からなくなってしまう、という問題があるのです。
セキュリティアップデートは、ソフトウェアの用語で正確に書いた上で、一般の人に分かるような平易なリスク喚起が必要なのでしょう。
さて、今回のセキュリティアップデートの内容をピックアップして何が危険になりそうなのかを想像してみたいと思います。
今回のアップデートのタイトルと影響を抜き出してみます。
- CFNetwork HTTPProtocol
Impact: An attacker in a privileged network position can obtain web site credentials - IOKit Kernel
Impact: A local user can read kernel pointers, which can be used to bypass kernel address space layout randomization - Security – Secure Transport
Impact: An attacker with a privileged network position may capture data or change the operations performed in sessions protected by SSL - WebKit
Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution
CFNetwork HTTPProtocol や Security Transport の問題は、公衆WiFiなどで悪意ある人が同じネットワークに居るとネットワーク上を流れるデータを盗み見られる可能性がある、という問題のようです。実際にこれで被害に遭うリスクはそれほど高いことはないですが、万一の事を考えると怖い問題ですね。
IOKit Kernel の問題は、IOKit を経由してアクセスできるケースなので問題になるのは非常に特殊なケースだと想像しています。
そして、最後の WebKit ですが、悪意のあるサイトを訪問するとブラウザがクラッシュしたり、悪意のあるコードが実行されてしまったりする問題です。平易な言葉でいうとマルウェアなどが利用することのできるセキュリティ上の穴があった、ということです。
これらの脆弱性があることだけでは、大きな問題にはなりません。なぜなら悪意を持った攻撃を受けなければ被害にはならないからです。しかし、いつ、そのような事が発生するか分かりません。問題が発生してからでは遅いのです。
これらの脆弱性を利用した攻撃は今までは Microsoft が主なターゲットでした。Microsoft はこれらの問題に対処するために月例パッチを提供し、どんどん対策しているわけです。Windows を使っているユーザの方は、煩わしいと思いながらもパッチを適用し、ウイルス対策ソフトなどで自己防衛していると思います。iPhone も世界中で非常に多くのユーザがいるデバイスになっています。遅かれ早かれ攻撃者のターゲットになる日が来るでしょう。
いや、もう来ているかもしれません。実際に被害にあってからでは遅いのです。セキュリティアップデートに何が書いてあるか分からない、と言う人ほど、OSのアップデートはできるだけ積極的に実施するべきだと思います。
まだ、iOS 7.1.1 にアップデートされていない方は、ぜひアップデートをしてください。
最後まで読んでいただきありがとうございます。
左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいですFacebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします
RSSリーダへの登録は こちら からどうぞ。
コメントを残す