米アップルの「アイフォーン(iPhone)」「アイパッド(iPad)」に搭載されている基本ソフト「iOS」に、深刻なバグが見つかった。
対策を施さず放置したままだと、悪意のある第三者の侵入を受けてクレジットカード番号などの重要な個人情報を盗まれる恐れがある。
暗号技術の専門家「実にひどい」と嘆く
アップルが2014年2月21日に発表したiOS向けのセキュリティー更新情報には、「ネットワーク上で特権的な地位にある攻撃者が、SSL/TLSで保護されたセッションでやり取りされたデータを取得、改ざんする恐れがある」との説明がある。「SSL/TLS」とは、ウェブのアクセスでやり取りするデータを暗号化する技術で、第三者から自分のデータを盗み見られるのを防ぐ。
速やかにiOSを更新しないと、とんでもない被害に合う恐れがある。米誌「ワイヤード」電子版2月22日付の記事によると、例えばレストランや喫茶店で提供される無料の無線LANを経由してメールの送受信や、フェイスブックやツイッターといった交流サイト(SNS)への接続、ネット上で銀行取引をした場合、攻撃者が通信内容を傍受し、知らないうちに自分のフェイスブックアカウントや銀行口座情報を抜き取られるかもしれない。
アップルは、不具合が発生した原因については言及していない。だが複数の海外メディアは、専門家の指摘をもとにプログラムの「単純ミス」ではないかと報じている。暗号に詳しい米ジョンズホプキンス大学のマシュー・グリーン教授は2月21日、ツイッターでこうつぶやいた。
「よし、アップルのバグが何か分かったぞ。これはダメだ。実にひどい」
この時点でグリーン教授は原因の具体内容を示さなかったが、ほどなくしてワイヤードをはじめとするメディアや、テクノロジーのコミュニティーサイト「ハッカーニュース」が「種明かし」をした。これらのサイトは、アップルが公開しているソースコードの一部を引用。そのうえで「誰にでもひと目で分かるエラー」として、「goto fail」というコードがひとつ余計に多く入っている個所を示した。このせいで、本来は認証チェックをするべき部分に対して機能がはたらかず、何でも認証してしまうようになる。これでは怪しげなアクセスがあってもはじき出すことができない。データ漏れを防止するSSLは、役に立っていないというわけだ。
バグはコードの「コピペ」失敗が原因か
グリーン教授はその後ツイッターで、コードのエラーは「少なくとも2013年10月」には存在していた可能性を指摘。原因については、コードを書く際に他所からのコピーペーストを誤ったのではないかとの見方を示した。
ロイター通信によると、アップルは今回のバグについて、いつ、どのように知ったのか、実際に悪用された例はあるのかといった点は明らかにしていないという。サイト上では「接続認証を有効にするための、技術的に安全な通信ができない」と説明しているが、これだけでは「(説明が)あいまい」と批判的だ。
いずれにしろ利用者は、早急な対応を迫られる。情報セキュリティー会社「カスペルスキー」は2月24日、サイト上でiOSについて「今すぐアップデートを」と呼びかけた。情報流出の危険性を回避するため、更新前はネットバンキングといった重要な通信を行わない、更新時は「フリースポット」のような誰でもアクセスできる公共のサービスを利用せず、自宅のネットワークに接続するといった注意喚起をしている。
現行の「iOS7」は、2013年9月に配信が開始され、同月に発売された「iPhone 5s」をはじめ、iPadを含む複数の機種に対応する。「5s」では10月、画面が青一色の「ブルースクリーン」となって強制的に再起動する現象が複数報告された。アプリのクラッシュも、従来モデルより多いともいわれる。いずれもiOSが直接の原因なのか、アップルの発表がないので何とも言えない。ただiOSの更新回数は2013年9月、10月、11月に続いて今回で4度目と、配信スタートから半年にしては多いように思える。しかも今度は、情報通信の安全性やアップル製品の信頼性の根幹にかかわる重大な問題だけに、同社からの詳しい説明がほしいところだ。