Appleの安全性に関する実績は極めて良好です。つまり、プラットフォーム上で発生したセキュリティ侵害の件数は実際には少ないということです。しかし、セキュリティに対する評判という点では、まだ改善の余地があります。同社はセキュリティ修正のプロセスについて口を閉ざす傾向があり、年間を通してアップデートをリリースしているにもかかわらず、脆弱性が何ヶ月も修正されないまま放置されることもあります。
一例を挙げると、6 か月以上前に Sun が最初に修正した Java の脆弱性が、Mac OS X ではまだ解決されていません。10.5.7 で最近セキュリティが修正されたにもかかわらず、この問題は OS X ではまだ修正されていません。
JavaはApple独自のシステムではありませんが、OS Xにはデフォルトで含まれています。そのため、サードパーティベンダーから修正プログラムがリリースされた際に、Appleがそれを公開する責任を負っています。特にJavaが重要な理由はいくつかあります。まず、前述の通り、OS Xではデフォルトでインストールされ、有効になっていること。次に、クロスプラットフォームでほぼどこにでも存在するという性質上、ハッカーにとって魅力的な標的となっていること。そして最後に、通常はWebブラウザ経由でアクセスできるため、一般ユーザーでさえも危険にさらされているということです。
問題となっている脆弱性は技術的な側面が強く、詳細にご興味があれば、この脆弱性を発見したSami Kovu氏のブログ記事をご覧ください。しかし、結局のところ、Webブラウザに読み込まれたJavaアプレットが、現在の権限で任意のコードを実行できる可能性があります。著名なMac OS X開発者のLandon Fuller氏は、自身のサイトでこのバグの概念実証を公開しています。また、Macユーザーが自身を守るために実行できる対策もいくつか紹介しています。具体的には、Safariの「ダウンロード後に『安全な』ファイルを開く」機能を無効にし(これは常に推奨される対策です)、WebブラウザでJavaサポートを無効にすることです。
もちろん、これは日々の生活でJavaに依存している人にとっては、あまり有効な回避策とは言えません。理想的には、AppleがSunが既にこのバグを修正したバージョンのJavaをリリースするはずですが、より大きな問題は依然として残っています。Appleは、これまでの安全記録に甘んじることなく、セキュリティ対策にもっと積極的に取り組むべきです。そうすれば、実際に攻撃を受けたとしても、 Appleは油断せずに済むでしょう。
かつてOne Laptop Per Child(OLPC)のセキュリティ責任者を務めていたイヴァン・クルスティック氏の最近の採用は、おそらく正しい方向への一歩と言えるでしょう。クルスティック氏はOLPCのBitfrostセキュリティシステムの開発に携わっていました。OLPCの主な利用者が子供たちであることを踏まえ、Bitfrostはエンドユーザーにとって透明性が高く、かつ高度なセキュリティも備えた設計となっています。まさにMac OSに必要なセキュリティと言えるでしょう。
[スラッシュドット経由]
