米アップルの「アイフォーン(iPhone)」「アイパッド(iPad)」に搭載されている基本ソフト「iOS」に、深刻なバグが見つかった。
対策を施さず放置したままだと、悪意のある第三者の侵入を受けてクレジットカード番号などの重要な個人情報を盗まれる恐れがある。
暗号技術の専門家「実にひどい」と嘆く
安全な通信環境の下でiOSの更新を
アップルが2014年2月21日に発表したiOS向けのセキュリティー更新情報には、「ネットワーク上で特権的な地位にある攻撃者が、SSL/TLSで保護されたセッションでやり取りされたデータを取得、改ざんする恐れがある」との説明がある。「SSL/TLS」とは、ウェブのアクセスでやり取りするデータを暗号化する技術で、第三者から自分のデータを盗み見られるのを防ぐ。
速やかにiOSを更新しないと、とんでもない被害に合う恐れがある。米誌「ワイヤード」電子版2月22日付の記事によると、例えばレストランや喫茶店で提供される無料の無線LANを経由してメールの送受信や、フェイスブックやツイッターといった交流サイト(SNS)への接続、ネット上で銀行取引をした場合、攻撃者が通信内容を傍受し、知らないうちに自分のフェイスブックアカウントや銀行口座情報を抜き取られるかもしれない。
アップルは、不具合が発生した原因については言及していない。だが複数の海外メディアは、専門家の指摘をもとにプログラムの「単純ミス」ではないかと報じている。暗号に詳しい米ジョンズホプキンス大学のマシュー・グリーン教授は2月21日、ツイッターでこうつぶやいた。
「よし、アップルのバグが何か分かったぞ。これはダメだ。実にひどい」
この時点でグリーン教授は原因の具体内容を示さなかったが、ほどなくしてワイヤードをはじめとするメディアや、テクノロジーのコミュニティーサイト「ハッカーニュース」が「種明かし」をした。これらのサイトは、アップルが公開しているソースコードの一部を引用。そのうえで「誰にでもひと目で分かるエラー」として、「goto fail」というコードがひとつ余計に多く入っている個所を示した。このせいで、本来は認証チェックをするべき部分に対して機能がはたらかず、何でも認証してしまうようになる。これでは怪しげなアクセスがあってもはじき出すことができない。データ漏れを防止するSSLは、役に立っていないというわけだ。