High Sierraのroot脆弱性などAppleデバイスの根幹に関わる重大な脆弱性を発見した場合どこに報告すればいいのか?

スポンサーリンク

 High Sierraのroot脆弱性などAppleデバイスの根幹に関わる重大な脆弱性を発見した場合どこに報告すればいいのかという議論の考察です。詳細は以下から。

Appleのフィードバックアシスタント

 現地時間2017年11月28日、トルコのオンライン決済サービス「iyzico」のエンジニアLemi Orhan Erginさんが、「macOS High Sierraはユーザ名に『root』を利用することで、パスワードを入力せず管理者アカウントでログインできてしまう」とツイートしたことをきっかけに、High Sierraのroot脆弱性”CVE-2017-13872″通称#iamrootが世界中に広まってしまいましたが、

これに対し、多くのセキュリティ研究者やエンジニアが「彼はAppleとコンタクトを取り、この問題をTwitterで公開するべきではなかった」と批難しており、これに対しErginさんはMediumに「1週間前、会社のサポートスタッフが同僚の管理者アカウントを回復している際この問題を見つけ(イメージ?)11月23日にAppleに報告したが、ネット上を検索してみたところAppleのDeveloper Forumには13日時点で既に他者がこの脆弱性に気づいていた」とコメントしており、

A week ago the infrastructure staff at the company I work for stumbled on the issue while trying to help one of my colleagues recover access to his local admin account. The staff noticed the issue and used the flaw to recover my colleague’s account. On Nov 23, the staff members informed Apple about it. They also searched online and saw the issue mentioned in a few places already, even in Apple Developer Forum from Nov 13. It seemed like the issue had been revealed, but Apple had not noticed yet.[…]Then I decided to inform Apple via Twitter. The issue was very serious. It has already been mentioned in forums and revealed publicly few weeks ago. I thought I had to ask Apple “are you aware of it?”.

The Story Behind “anyone can login as root” Tweet – Lemi Orhan Ergin – Medium

その5日後、この深刻な問題をTwitterで公開することを決めたそうで「Appleやユーザに対し危害を加えようとしてやったことではなく、ただ『High Sierraには深刻な脆弱性があります、その問題を認識して修正して下さい』と言いたかっただけです」とつづっています。

iyzicoとErginさんのタイムライン

  • 2017年11月21日 : iyzicoのサポートスタッフがこの脆弱性を発見する。
  • この間に11月13日の時点でchethan177というユーザがApple Developer Forumにこの脆弱性を記載していたことを知る。
  • 2017年11月23日 : iyzicoがAppleに連絡。
  • 2017年11月28日 : Appleがこの事に気づいていないと判断し、ErginさんがTwitterで警告。

 Erginさんはこの問題をツイートした後にrootユーザにパスワードを掛ける方法などをツイートしているので始めのツイートが悪意あるものではないようですが、それでも多くのセキュリティ研究者はこの様な重大な脆弱性はAppleのセキュリティ部門とコンタクトを取るべきだとして以下の方法を勧めています。

スポンサーリンク

セキュリティに関するフィードバック

 Appleは一般のユーザにもフィードバックサイトを公開し広く意見を募集していますが、これとは別の開発者IDが必要なRadarでもフィードバック数は年間400万件以上、毎時551件のフィードバックが送られていると推測されているため、

これらに重大な脆弱性のフィードバックを送っても対応が遅れてしまう可能性があるそうで、MalwareybtesのThomasさんやGuilherme RamboさんはAppleのセキュリティ関連問題ガイドラインに従い、AppleにProduct Security PGPキーを発行してもらい直接セキュリティチームとコンタクトをとる方法を勧めているので、何か重大なインシデントを見つけた方は以下のサイトに従ってコンタクトを取ってみて下さい。

セキュリティ関連の問題について Apple に問い合わせる

Apple の製品や Web サーバに影響があるセキュリティやプライバシー関連の問題については、product-security@apple.com までメール (英語) でお知らせください。
Apple Product Security PGP キーを使って、メールで送信する機密性の高い情報を暗号化できます。お送りいただいたメールが届いたら、確認のためのメールを自動返信いたします。この確認メールが届かない場合は、メールアドレスをご確認の上、もう一度送信してください。当社でセキュリティの問題を調査するにあたって追加情報が必要になった場合は、別途メールでご連絡させていただきます。

セキュリティ関連の問題について Apple に問い合わせる – Apple サポート

おまけ

 ちなみに、この一連の騒動で最も批判を受けたTwitterアカウントは、root脆弱性の問題に「何が起こっているか一緒に見てみましょう。」と定型文をツイートしてしまったAppleの公式サポートアカウントの様です。

コメント

  1. 匿名 より:

    PGP使ってるんだ。そこはしっかりしてんだな

  2. 匿名 より:

    まあ日本語のサポートドキュメントなんてガン無視だろうけどね

  3. 匿名 より:

    ネットに晒すかどうかって微妙な問題だよな。
    サポートって、晒さないとまじめにやらない部分もある。

  4. 匿名 より:

    つーか、そもそも客がバグ報告をすること自体おかしい。

  5. 匿名 より:

    クレイグフェデリギはクビにするべき