マイキー・キャンベル
· 2分で読めます
政府による監視に対抗する姿勢を示したAppleは、予想以上の結果を招いた。昨年のサンバーナーディーノテロ攻撃に関連するiPhoneからデータを抽出する手法についてFBIが沈黙を守っているため、Appleは全く把握していないセキュリティホールを修正しなければならない。ある報道によると、同社のセキュリティチームの最近の再編によって、この作業はより困難になっているという。
ニューヨーク・タイムズ紙は、Appleの現従業員および元従業員の話を引用し、同社のセキュリティ対策は昨年末から過渡期にあると報じている。司法省の件に直接関連する話として、iPhoneデータに関する政府からの要請に対応した経験を持つ数少ないマネージャーの一人、ダラス・ディアトリー氏が昨年、役職を異動した。
報告書によると、Appleは以前、コアOSセキュリティエンジニアリングと一般的な製品セキュリティチームという2つのセキュリティチームを擁しており、後者は暗号化、匿名性、その他のプライバシー問題を担当する小グループに分かれていた。さらに、製品セキュリティチームには、社内および外部から発見された脅威に対応するリアクティブチームが含まれていた。一方、「レッドチーム」と呼ばれるチームは、デバイスの潜在的な脆弱性を積極的に探り出す活動を行っていた。
元従業員によると、製品セキュリティ部門は昨年中に分割された。個人プライバシーチームには新しいマネージャーが任命され、「RedTeam」を含む他のユニットは、Core OS Security Engineeringの傘下となり、その前マネージャーであるDeAtley氏の下に移った。
移行期間がAppleの脆弱性発見能力、パッチ発行能力、製品セキュリティ維持能力にどのような影響を与えたかは不明ですが、ハイテク業界では離職率の高さが予想されます。The Times紙が指摘しているように、セキュリティエンジニアは需要の高い人材であり、Apple経営陣はある程度の離職率を予想していたと考えられます。
Appleは、多くのテクノロジー企業と同様に、常に新しい人材を求めています。過去にはライバル企業からエンジニアを引き抜いたこともあり、常に時代の先を行くために重要な買収を行うことは珍しくありません。例えば、昨年11月には、ディープシステムセキュリティを専門とするスタートアップ企業LegbaCoreを経営するファームウェアセキュリティ専門家2名を採用しました。LegbaCoreは、Thunderboltの脆弱性「Thunderstrike 2」の概念実証の開発に貢献しました。
カリフォルニア州政府は月曜日、サンバーナーディーノのテロ容疑者サイード・リズワン・ファルーク容疑者が使用していたiPhone 5cのロック解除にAppleの協力を義務付けるカリフォルニア州の裁判所命令を撤回した。Appleは司法省の圧力に抵抗し、ソフトウェアによる回避策の作成は数百万台のiOSデバイスに侵入の危険をもたらすと主張し続けた。
連邦検察官は昨日、外部の関係者が証拠審問の数日前にFBIに有効なデータ抽出手法を持ちかけ、Appleに対する訴訟が無効になったと発表した。ABCニュースは火曜日の報道で、ある法執行機関筋の話として、iPhoneの脆弱性攻撃が、非常に注目を集めた裁判にもかかわらずではなく、むしろ裁判のおかげで発覚したと報じた。
ファルークのiPhoneから標的のデータが抽出された今、FBIが有効な脆弱性をAppleに引き渡すかどうかは不明だが、可能性は低いだろう。有効なエクスプロイト、特にAppleがアクセスできないエクスプロイトは、貴重なデジタルフォレンジックツールとなり、全米各地で係争中の複数の事件で活用される可能性がある。例えば、Appleはニューヨークでも同様のアクセス要求を出している。
しかし、セキュリティ研究者、プライバシー擁護者、そして Apple にとって、iOS デバイスに組み込まれた保護に対する回避策が存在するだけで、セキュリティ上の大惨事が起こるのを待っている状態です。
