TidBITS#1040/16-Aug-2010 TidBITS#1040/16-Aug-2010今週号の主要な話題は iOS のセキュリティだ。Glenn Fleishman が、Apple によるセキュリティ関係の iOS アップデートを伝えるとともに、暗号化された iOS バックアップを使うことで実際には少々セキュリティが落ちると説明し、Wi-Fi ネットワークのパスワードが変更されている場合に iOS 機器でそれをアップデートする方法を解説する。さらに、セキュリティ担当編集者の Rich Mogull が、Apple が iOS で直面するセキュリティの課題について、また同社が享受している優位性について概観する。さて、ちょっと違った話題としては、Lex Friedman が重要な Safari 機能拡張をいくつかチェックし、それから Sharon Zardetto による信頼の置ける電子ブック "Take Control of Fonts in Snow Leopard" がリリースされ、Adam は TidBITS 内部の旧来のサービスのいくつかを移動させたことを報告する。今週注目すべきソフトウェアリリースは、VMware Fusion 3.1.1、Things 1.3.5、それに Office 2004/2008 セキュリティアップデートだ。
記事:
----------------- 本号の TidBITS のスポンサーは: ------------------
---- 皆さんのスポンサーへのサポートが TidBITS への力となります ----
文: Glenn Fleishman <[email protected]>
訳: 大石哲伸<tedz2000@gmail.com>
iOS の2つの深刻な(セキュリティー上の)穴が修正され、iPad 用の iOS 3.2.2 、あるいは iPhone, iPod touch 2008年以降のモデル用 iOS 4.0.2 として用意された。iOS 機器を普段 iTunes の同期に利用しているコンピューターに接続し、iTunes を使用してアップグレードをダウンロードし導入して欲しい。
一つ目の欠陥は TrueType の処理に関するものであり、Apple の iOS の PDF 表示ソフトウエア内部に存在している。悪意を持って作成されたフォントが埋め込まれている PDF 文書を表示すると、あなたが iOS 機器上から PDF ファイル回覧を行っただけで、悪意を持ってフォントを作成した人物によるコードが実行されてしまうようにできる。この欠陥は2つ目の欠陥である IOSurface のものとペアになっている。IOSurface とは メモリー上に画像をバッファーし、保存するために利用されているフレームワークである。IOSurface が持つ欠陥によって、実行されたコードはシステム全特権を持った攻撃を行う事ができる。
これが起きてしまえば、攻撃者は遠隔地からのアクセスを行う事ができ、あなたのもつ全てのデータをコピーもしくは削除し、バックグラウンドで動作する監視ソフトウエアあるいは、通話を傍受するソフトウエアをインストールする事ができる。
この欠陥が発覚したのは iPhone 4に対して初めて成功した脱獄( Jailbreak )の一部分としてであり、必要なのは Web ページを訪れる事だけであった。特権を昇格する事によって、脱獄ソフトウエアは Apple による保護をクラックして、この会社が許可しているもの以外のソフトウエアをインストールできる。
Apple は もはや iPhone 3.1 系統に対するセキュリティーアップデート提供を行わないようだ。運の悪い事に一部の iPhone 3G ユーザーは iOS 4 から iOS 3.1.3への後戻りを余儀なくされており、これは深刻な動作速度の問題が出ているからであり、Apple はこれを調査中であるとしている。
たとえ iOS 4 が無料のアップグレードであっても、Apple は既に広く使われている 過去の OS リリースの重大なセキュリティー問題に対処すべきである。さらに、初代 iPhone と iPod touch もこの欠陥に該当する可能性が高いと思われるが、iOS 4 にアップグレードする事はできない。
コメントリンク11510 この記事について | Tweet リンク11510
文: Adam C. Engst <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
Mac OS X でのフォント管理は、猫の世話をするのとあまりにもよく似ている。(どうして Fonts フォルダがこんなあちこちにあるのか!)でも、この新刊の電子ブック "Take Control of Fonts in Snow Leopard" があれば、セリフ付きの猫とサンセリフの猫を囲い分けるのも簡単だ。著者は Sharon Zardetto、この 225 ページの電子ブックには、Mac OS X 10.6 Snow Leopard で、あるいは 10.5 Leopard で、あなたがフォントについて知っているべきことがすべて網羅されているばかりでなく、Adobe CS4 と CS5、Microsoft Office 2004 と 2008、iLife、それに iWork など、ソフトウェアごとの特殊なフォント状況についても解説がある。
重要な話題のうちいくつかを挙げてみよう:
この電子ブックの価格は $15 で、フォントユーティリティの PopChar X やその他のソフトウェアを作っている Ergonis Software からの購入が 20 パーセント割引になるクーポンが付いている。
コメントリンク11511 この記事について | Tweet リンク11511
文: Glenn Fleishman <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
パスワードで保護された Wi-Fi ネットワークに iOS 機器 (iPad、iPhone、iPod touch) で接続する際、次回の接続でも使えるようにとあなたの機器はそのパスワードを保存する。これは道理にかなっている。
けれども、もしもその Wi-Fi ネットワークの WEP、WPA、または WPA2 パスワードが変更されていたらどうなるだろうか? あなたの機器は接続を試みてから、接続できなかったとあなたにに報告してくるかもしれない。あるいは、iPhone や 3G 対応 iPad の場合には、黙って 3G データサービスに戻ってしまうかもしれない。そうなれば、それと分かる唯一の手掛かりはスクリーンの一番上の Wi-Fi ステータスアイコンがあるべき場所に 3G ステータスアイコンが現われることだけだ。
これを解決する方法がある。強制的に記憶喪失にさせるのだ。以前苦しめられたいくつかの問題もこの方法で解決したはずだと私が気付いたのは、ごく最近になってからのことだった。
正しくなくなってしまったパスワードが機器に保存されている場合、その問題を回避するためには、まずあなたがパスワードの変わってしまったそのネットワークの電波の到達範囲にいることを確認してから、次のようにすればよい:
すると、iOS はあなたにネットワークパスワードを入力するよう求めてくるので、そこに正しいパスワードを入力すればネットワークに再接続できる。
これは便利な裏技には違いないが、やはり Apple が iOS をアップデートして、記憶済みネットワークで保存されたパスワードが働かなくなってしまった場合にはユーザーに入力を求めるように直すべきだと思う。
コメントリンク11503 この記事について | Tweet リンク11503
文: Glenn Fleishman <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
初めのうちは、Elcomsoftが大きな欠陥を発見したのだと私は思った。iOS が、iPhone、iPad、あるいは iPod touch のデータを iTunes にバックアップさせる方法に関したことだ。Elcomsoft はロシアのセキュリティ会社で、さまざまの異なったソフトウェアパッケージやシステムにおけるパスワードの品質を、それをクラックしようと試みることによってテストするようデザインされたソフトウェアを作っている。また、犯罪捜査などの用途のためにそのソフトウェアの市販もしている。
Elcomsoft は iOS 機器の iTunes バックアップのパスワードをクラックするための iPhone Password Breaker ソフトウェア (機能によって $79 または $199) を提供している。バージョン 1.2 では、パスワードのクラックに成功した場合に iOS 機器のキーチェーンの内容を表示できる機能が追加された。この iOS キーチェーンというのは Mac OS X のものとよく似ていて(あるいは全く同じものかもしれないが)ネットワーク、電子メール、その他のシステムパスワードを保存し、それに加えて Apple の助言に従いキーチェーンを利用するようになっているサードパーティのアプリのパスワードも保存する。
Elcomsoft の Andrey Belenko が、何のためにこのような新機能を加えたのかを説明している。iOS 4 より以前では、ハードウェア暗号化キーのある iOS 機器は常にそのキーを使ってキーチェーンを暗号化していた。これまでのところ、機器の中からハードウェア暗号化キーを回収するのは不可能だったし、ハードウェア暗号化キーは十分に強力でクラックに破られたことはない。(ハードウェア暗号化は 2009 年以降にリリースされたすべての iOS で使われている。すべての iPad、iPhone 3GS と iPhone 4、それに第三世代の iPod touch 機種がこれに該当する。)
このハードウェアキーは iTunes 内の iOS 4 バックアップでも引き続き使われるが、ただ一つ重要な例外がある。Encrypt iPhone Backup (あるいは接続された iOS 機器に対応する同様の設定) をオンにしている場合、iOS 4 はハードウェアキーを使わず、その代わりにあなたがそのバックアップのために入力したパスワードから導き出されたキーを使って暗号化するのだ。
Belenko の説明によれば、このようになった理由は iOS 4 が機器をバックアップからリストアする際にキーチェーンもその機器に転送できるようになるからだという。もしもあなたが iPhone をなくしたり、盗まれたり、壊されたりしても、あるいは新しい iPhone にアップグレードしても、バックアップをそのまま新しい iPhone にリストアできるようになる。iOS 4 より以前では、その際パスワードは転送されなかった。(Elcomsoft はこの点をさらに説明するための非常に詳しい FAQ を提供している。)
バックアップを暗号化することで実際にはデータのセキュア度が減るというのは、考えてみれば奇妙なことだ。けれども、これはセキュリティホールというわけではないし、Elcomsoft もそのようには見ていない。
あなたの iPhone キーチェーンからパスワードを抽出するために、悪漢たちは何らかの手段であなたのコンピュータにアクセスできなければならない。そのアクセスは、物理的に手で触れるものかもしれないし、遠隔攻撃を通じたものかもしれない。そのようなアクセスがあれば、キーストローク・スニファーをインストールされるかもしれず、そうなれば王国の鍵がすべて敵の手に渡ってしまう。
さらにまた、もしもあなたが良い、強力なパスワードを選んでいれば、その場合は Elcomsoft のパスワード破りも役に立たない。その手段は力ずくのもの(総当たり攻撃)であって、同社はパスワード破りの難しさを決して誇大宣伝しているわけではない。同社の FAQ の中にはこんな愉快な会話もある:
(ある質問への答の終わりに): ...妥当な時間内に回収可能なパスワードは比較的短くて単純なもののみです。
Q: その「多大な時間が必要」とか「妥当な時間内」というのは、具体的にはどういう意味ですか?
A: 一生涯、というところでしょうか? 冗談は抜きにして、このくらい良い保護があれば、長いパスワードを回収するには何百年もかかるでしょう。
そして Elcomsoft は続けてこのように述べている。「iPhone バックアップの暗号化は十分に良いものです。そう、わが社の基準から見てもほとんど完璧です。言い替えれば、本当にセキュアです。」
どうやら Apple は、あなたが注意して十分に長くて強力なパスワードを作っている限りにおいてはセキュリティを傷付けることなく、新たな柔軟性を追加することができたようだ。Apple が犯したただ一つの誤りとは何か? それは、Mac OS X で「キーチェーンアクセス」プログラムやその他のいくつかの場所で使われている「パスワードアシスタント」を、あなたが iOS バックアップを作る際にベストなパスワードを作る手引きとして含めなかったことだ。
(この記事のためにいろいろの情報を教えてくれた TidBITS セキュリティ担当編集者の Rich Mogull に感謝したい。)
コメントリンク11507 この記事について | Tweet リンク11507
文: Adam C. Engst <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
私たちはこれまで非常に長い間このインターネットで仕事をしてきた。だから、1990 年代中ごろに私たちが提供し始めたサービスで、今日のインターネットではもはや大して意味のなくなってしまったものであっても、読者たちがそれに慣れ切っているために困った状況が起こるようなことも時々ある。
その種のサービスの二つが、最近私たちの検討課題となった。その一つを動かしていたハードウェア、私たちの古い ISP、Northwest Nexus でホストされた非常に古いマシンが、実地に手を触れて面倒を見なければ ftp.tidbits.com がオンラインに戻らないという事態に陥ったからだ。問題のコンピュータは Linux を走らせている Pentium ベースの旧式の PC だったが、数年に一度ずつ再起動か、それ以上の大騒動を必要とする状態だった。まあ、そのこと自体相当に信頼性の高さを示す記録とも言えたが、私たちとしてはやはりそろそろこのマシンは引退させて、その中にあるファイルは私たちがコントロールできるサーバへ移動させようと決めた。
問題のファイルとは、私たちの毎週の号の setext フォーマット版だった。今でも、アーカイブ目的でこのフォーマットのファイルを集めておくのを好む人たちは多い。また、これとは別に、私たちは TidBITS の HTML 版の電子メールによる配布もしている。これら静的 (static) な HTML ファイルも、誰でもいつでも個々の号を再訪問できるよう、ずっと以前からアーカイブ保存されている。これら HTML ファイルの方は私たちの古い PowerPC ベースの Xserve に保存されており、このマシンからも私たちは少しずつサービスを他へ移動させてきていた。
このように書いてきたのは、今回私たちがこれらの静的な setext および HTML フォーマットによる毎週の号のファイルを、私たちの db.tidbits.com マシンの上にある新しい場所で提供するようにしたことを説明するためだ。これらのファイルを欲しいと思われたならば、今後は以下の場所を探して頂きたい:
ノスタルジア以外の理由はないが、上記のいずれのページにも、私たちの旧来の TidBITS ロゴ画像を掲げておいたので、アーカイブをブラウズしながらきっと 1990 年代中ごろの気分を味わって頂けるだろう。
忘れて頂きたくないのは、これらの静的なファイルは決して私たちが過去の号を提供しているメインの方法ではないということだ。過去の号はすべて、データベース駆動の私たちのウェブサイトで提供されている。Back Issues ページ(左側のナビゲーションバーで Weekly Issues をクリックすれば、そのセクションの一番下に Back Issues リンクがある)を開けば、過去の号が新しいものから順にリストされ、それぞれに要約も付いている。
その一つをクリックすれば、その号がページにロードされ、その号のすべての記事タイトルとそれぞれの記事の要約が示される。クリック一つで、その号のすべての記事のすべてのテキストが一挙に表示されるようにもできるし、一つの記事のみで本文テキストを表示させることも、またその記事自身のページにジャンプすることもできる。このページではその号が動的に構築されているのであって、静的なテキストファイルから作られているのではない。だから、クリック一つでオーディオ版を聴いたり、印刷表示にアクセスしたり、コメントがあれば読んだりもできる。
それならば、いったい何のために静的な setext ならびに HTML フォーマットのバージョンで号を保存しておく必要があるのだろうか? インターネットに繋がらない場所でオフラインで読むために過去の号をダウンロードしたいという希望をお便りで頂いたこともある。それから、これらのフォーマットに依存して働くツール(多くの場合個人用のもの)を作ったプログラマーたちも何人かいる。
それ以外にもいろいろな理由があることは疑いない。だから、これらのファイルを作るのにそれほど手間がかからない限り、私たちは引き続きこれら二つのフォーマットも TidBITS を読むための別方法として利用できるようにしたいと思う。電子メールで号を入手したり、RSS フィードを購読したり、iPhone アプリの TidBITS News を使ったり、それから単純にウェブで読んだり、そういったメインの方法以外にも、道はあるということだ。
コメントリンク11489 この記事について | Tweet リンク11489
文: Lex Friedman <[email protected]>
訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>
Firefox, Chrome, そして Internet Explorer といった Web ブラウザは、それぞれのリリースのすぐ後からアドオンとかエクストラとかに対するサポートを提供してきている。しかしながら、Apple 独自の Safari ブラウザが機能拡張(extensions)に対するサポートを獲得するまでに実に 7 年半を要したが、最近リリースされた Safari 5 と共にようやく到着した。
Apple は Safari 機能拡張の独自のディレクトリ を先月立ち上げた;それ以前は、Jonas Wisser の Safari Extensions ブログ が新しい機能拡張を探す一番容易な場所であった - しかしどちらのサイトも少々圧倒される様に感じるかもしれない。Safari Extensions は何百もあり、しかも毎日増えていて、雑音の中で信号を見つけ出すのは困難なこともある。私は私の毎日のインターネットサーフィンを格段に向上させる機能拡張を既に幾つか掘り起こした - ひょっとすると皆さんのお役にも立てるかも知れない。
YouTube5 -- Connor McKay の YouTube5 は私のお気に入りの Safari Extensions の一つである - しかしどうかこの機能拡張を創作者の Web サイトから判断しないで欲しい。この機能拡張をオンにすると Web 上で遭遇する Flash ビデオの数が劇的に減ることになる。YouTube ビデオは、それが YouTube 上であろうが或いはその他の所に埋め込まれた場合であろうが、Flash を全く使わなくなる;代わりに、HTML5 の魔法を活用しようとするので、あなたの Mac に対してもプロセッサの負荷は (従って消費電力も) かなり低減されるはずである。
この YouTube5 機能拡張には一つの設定が含まれている:選択の余地がある時にこの機能拡張が取り込むべき最大のビデオフォーマットを選択する事が出来る:360p, 720p, 或いはフル HD の 1080p のどれかである。
InvisibleHand -- 名句を名前にした買い物サイトによって作られたもので、InvisibleHand 機能拡張は私を幸せな気持ちにしてくれる、何故ならば私は節約するのが大好きだからである。私はオンラインで買い物をする前に、買おうとしている物の値段は可能な範囲で最善のものになっていることを確認するため探索にかなりの時間を費やす。いや、少なくともこれまではそうであった。
InvisibleHand をインストールすると、ショッピングサイトの上部を横切る小さな黄色いバーが現れる。ここにその物を他の所から買ったらどれぐらい節約できるかが現れる (もし既にそこに行っている場合は最善の値段であることも教えてくれる)。例えば、私が Amazon.com で iPod touch を見ていたとすると、InvisibleHand は他では $37 安く買えることを教えてくれる - 20% 以上の節約である。
InvisibleHand がうまく働いている時は、それはとても素晴らしく、そしてかなりの大金を節約できる。しかし残念ながら、この機能拡張には多少の弱点もある:他のどのオンライン店を検索すべきかを設定する事が出来ない。従って、例えば eBay の値段比較は見たくないと思っても、それはかなわない。
NoMoreiTunes -- もう一つの Safari 機能拡張は NoMoreiTunes というかなり目を引く名前が付けられているが、Web ブラウズ時のうんざりを解消してくれる働きをする。あなたが iPhone 或いは iPad アプリリンク、或いは iTunes の曲或いは映画をクリックすると、何が出てくるかはご存知の通りである:Apple が用意したプレビューページを見せ、それから iTunes を開く、そしてようやくあなたが欲しているコンテンツを (遅々として) 立ち上げ始める。
これが NoMoreiTunes 以前の時代に起こったことである。今や、私がこれらのリンクをクリックすると、狙ったコンテンツのための Apple のプレビューページが現れる (この様な) - そして iTunes はしずかにしたままである。これは極めて気持ちのいいものだ。Apple がその iTunes Preview Web サイトを iTunes を引き続いて開かないようプログラムしてくれるのが一番だとは思うが、Cupertino の連中が正気を取り戻すまでは、NoMoreiTunes がその働きをしてくれると言うものである。
[編者注:どうも Apple は正気を取り戻したようで、この記事を最初に掲載した後に iTunes Web サイトのこの振舞いを変更したらしく、NoMoreiTunes はもう必要ないようである。-Adam]
Ultimate Status Bar -- Safari のステータスバー - あなたのブラウザの下端にある帯でハイパーリンクの上にカーソルを当てた時に URL を表示する - はデフォルトではオフとなっているが、一旦オンにすると何時でもそこにいることになる。ブラウザによっては、 Google Chrome の様な、このステータスバーはあなたがカーソルをリンクの上に動かした必要な時にだけ現れる。
Ultimate Status Barはこの動きを再現し、貴重な縦方向のピクセルを解き放ち Web ページをあなたに少しでも多く見せるようにする。これに加えて、この機能拡張は、Safari のデフォルトのステータスバーにはない多くの利点を提供する。一つには、その外観を変更できる;この機能拡張には 10 の基調が含まれており、端麗な Classic から鮮やかな色彩の一角獣満載の Sparkle まである。その他に、相手 URL のファビコンを表示、更に Twitter で見られる様な短縮 URL を拡張してくれるので、クリックする前に何処に行くのか知ることも出来る。そしてこの機能拡張はダウンロードのためリンクされたファイルの大きさまで表示出来る。
Gentle Status Bar と呼ばれる有望な競争相手もいて同様の機能を提供しているが、Safari のデザイン美学により近い形で従っていて、更にクリックしたリンクを新しいウィンドウ或いはタブで開くようにするキーを押し下げていると反応すると言う追加の利点もある。しかし Ultimate Status Bar の持っている、問題のリンクのファビコンやファイルサイズを明かすといった良さは持ち合わせていない。
AutoPagerize -- 多くの Web サイトが記事を何枚かのページに分割し、ページビューを多く稼ごうとしている (そして広告の露出回数の増加にもつながる)。AutoPagerize はこの余分なクリックの必要性を (そしてページがロードされるのを待つのを) 魔法の様に無くしてくれる。あなたが読んでいるその記事の続きのページは黙ってそのページに読み込まれ、あなたがスクロールダウンして読んでくれるのを待つだけとなる。この日本の開発者の Web サイトは多少難解だが、これを使い始めるのに必要だったのはこの機能拡張をインストールすることだけであった。
ちょっと待って、他にも色々あるよ -- これら五つの機能拡張は私の毎日の Web サーフィングに最も頻繁に影響を与えたものであるが、他にも色々ある。John Siracusa の独立した Reload Button、Instafariと呼ばれる非公式の Instapaper ボタン、 Reddit 改良機能拡張の Reddit SuperHide、そして Panic Software の Coda Notes といったものは便利な機能を提供しており試してみる価値がある。Apple 自身のディレクトリには Twitter, The New York Times, そして Major League Baseball といった大物のパートナーからの新しい機能拡張も含まれている;これらも勿論見てみるのに値する。
それ程昔ではないが、私も Web 開発者だった時代がある。Safari Extensions は丁度 Web コードの慣れ親しんだもの - HTML, CSS, そして JavaScript の様な - を使うので、私も自分の目的に合ったものを作成出来ることに気付いた。今日まで、私が作ったものは二つにある。最初のものは、 Facebook Improved で、ソーシャルネットワーキングサイトからのかなりの量にのぼるガラクタを取り除く - しつこい広告、不必要な要素 (イベントを作成するため常駐する付記)、等々。それからこれはサイトのフォントを Helvetica に変え、そしてある種のフィールドのプレースホルダーテキストに対して少々の変更を加え、自分が載せようとしているのが誰か他人の Wall なのか自分自身なのか絶対に混乱しないようにしている。
私の他の機能拡張は Affiliatizer for Safariで、これは自動的に Web 全般にわたって Amazon リンクを書き換え、自分の選択した Amazon アフィリエイトコードを含むようにするものである。この機能拡張は、独自のアフィリエイトコードを 既に 持っていないリンクに対してのみ関係し、最大三つまでのアフィリエイトコードを受け入れ、そしてそれぞれのページビューで一つを無作為に選択する。これは自分自身、或いは同様にアフィリエイトコードを持つ友人に報いる良いやり方である。デフォルトだと、このアプリは私のアフィリエイトコードと我々の友人である John Gruber と Jason Snell のものを含んでいるので、あなた自身の設定を保存するまではこれが続く。
しかし公平に見て、私の日常の Web サーフィングに役立っているのは、YouTube5, InvisibleHand, NoMoreiTunes, Ultimate Status Bar, そして AutoPagerize に勝るものはない。まずはこれらを試して見られたい、そうすれば、あなたが Safari を使う時にこれらのツールがどれ程役に立つか自分自身で判断できる。そして、言うもでもないと思うが、一つの機能拡張があなたに代わってしていることで気に入らないものがあると言う場合は、Safari の Preferences ウィンドウの Extension ペインに行きそれをアンインストールするだけである。
コメントリンク11501 この記事について | Tweet リンク11501
文: Rich Mogull <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
セキュリティの世界で最も論議を呼んできた論点の一つは、ずっと以前から変わらず市場シェアの役割という問題だった。Mac が安全なのはユーザー数が少ないからで、そのため本格的なサイバー犯罪者たちにとって魅力が少なかっただけなのか? Mac の市場シェアはゆっくりと増加しつつあるけれども、この質問に対する答はいまだにはっきりしない。ただ、それよりはっきりしているのは、答は私たちのデスクトップで判明するよりも、私たちのポケットの中で判明する公算が大きいだろうということだ。
現在この地球上で最も人気ある携帯電話シリーズが iPhone であることに、ほぼ疑問の余地はないだろう。他の iOS 機器、つまり iPad や iPod touch をこれに加えれば、Apple はモバイル機器メーカーの中で最も強力なものの一つとなり、機器の販売実績は実に 1 億台を超える。この世界に存在する携帯電話の数はコンピュータの台数をはるかに上回るので、またその格差は今後も広がり続けるので、大局的なセキュリティの図式の中で iOS 機器の持つ意義は Mac よりもずっと重大なものとなる。
CNET の記事が伝えているように、iPhone (と、広い意味ではその他の iOS 機器) は既にセキュリティ研究者のコミュニティーにおいてより精密な調査の対象となりつつある。私も個人的な感触として、セキュリティ研究における私の仕事仲間たちの多くがさまざまな種類のモバイル機器、中でも iOS と Android をベースにした機器に、以前よりも興味を持つようになってきたと証言できる。そして、App Store の中に銀行業務や商品の小売りに関係したモバイルアプリが数多くあることを考えれば、今やこれらの機器が(若者たちが膨大な量のテキストメッセージをやり取りするのに加えて)多額の金融取引に広く使われつつあると見るべきだろう。
スマートフォンがセキュリティの情勢を変える -- 携帯電話が最もセキュアな機器であったことは一度もないかもしれないが、スマートフォンが広く使われるようになるよりも前の時代には、そこでのセキュリティの問題はごく限定された範囲のものに過ぎなかった。心配すべき最悪の事態といえば、誰かがあなたの携帯電話のクローンを作って国際通話の請求書をあなたに回してくるという程度のことだった。初期のスマートフォンでさえ、インターフェイスが不細工で、ブラウザもひどく、その企業の範囲外に踏み出すことも少なくて、一貫性もなかったため、セキュリティの問題はかなり限定されたものだった。けれども iPhone の登場によって、人気ある、拡張性に富んだスマートフォンの新時代が開かれた。人気の高さと機能の高さが組み合わさった結果、モバイルセキュリティの情勢は根本的なところで数々の変化を遂げた。
良い知らせもある。Apple は確かにモバイル機器で新たなセキュリティの課題に直面してはいるけれども、同社は既に強力なセキュリティ基盤をそこに据えており、そこには Mac のような汎用のコンピューティングプラットフォームで考えられるよりもはるかに高度なセキュリティが実現できる可能性がある。
私としてはこの記事を明るい調子で終わりたいので、まずは Apple にとってのセキュリティの課題をいくつか検討することから初めて、その後で同社が持っている潜在的な優位性について議論して行くことにしよう。
Apple のモバイルセキュリティの課題 -- Apple が iPhone において直面する主要な問題は、ハードウェアでもなく、ソフトウェアでさえもない。それは、同社の内部プロセスであり、共通のコードベースを複数のプラットフォームで(モバイルのものも、そうでないものも)共有した上でセキュリティを保つことの難しさだ。
まず第一に、Apple は歴史的に、OS X の使用するオープンソースのコンポーネントにおいては既に修正されている既存の脆弱性に対するパッチをなかなか提供しなかったという事実がある。例えば、jailbreak を可能にした最初の攻撃の一つは、TIFF 画像を表示するために使われる共通ライブラリの一つに含まれていた欠陥であった。これが iPhone でパッチされたよりもずっと以前に、他のいろいろのプラットフォームではパッチが済んでいた。結果として、アタッカーたちに対して直接 iPhone を標的とするロードマップを提供することになってしまった。Apple は Mac OS X においてもこの種の事態にさらされたことがある(例えば Apache Web サーバ、Windows 互換ファイル共有のための Samba、Bonjour の基盤となる MDNS サービスなど)けれども、iPhone 上での監視の目がますます厳しくなることによって、コンポーネントが他のプラットフォームでパッチされる時期と、iOS のユーザーがリスクにさらされる時期との時間間隔が狭まりつつある。
第二に、Apple は自社独自のソフトウェアにおける欠陥へのパッチを、異なるプラットフォームごとに異なったスケジュールで出している。そのため、より大きなリスクをユーザーたちに与える結果となっている。例えば、Apple は時として Mac 版の Safari におけるセキュリティ欠陥をパッチしてから、あとで Mobile Safari における同じ欠陥をパッチすることがある。iOS は OS X の一バージョンに過ぎないので、同じセキュリティ欠陥が双方のプラットフォームに共通してしまうのはごく自然なことだ。Apple は(同社が管理している)Safari の基盤となっているオープンソース版の WebKit コードをパッチしてから、あとで同じ修正を Safari 自体に施したことさえある。
これらの作業プロセス関連の問題点が、iOS 機器におけるセキュリティの複合リスクとしては飛び抜けて最も重大なものと言える。何らかの脆弱性が他のプラットフォームでパッチされた場合、オープンソースのコンポーネントであろうと Apple 独自のソフトウェアであろうと、それはアタッカーたちに対して iOS 機器を攻撃するための道を用意したことを意味するのかもしれない。
Apple はそれ以外にもいくつかセキュリティの課題に直面している。中でも重要な点は、jailbreak がセキュリティの脆弱性を突くことに依存しているので、何か新しい jailbreak 方法がリリースされる度に、それがアタッカーたちに対して iOS 機器を攻撃するための新たな方法を提供するかもしれないということだ。
場合によっては、それほど心配が要らないこともある。jailbreak のためには機器を物理的にコントロールできることが必要だからだ。けれども、あの jailbreakme.com サイトが実証してみせたように、ただウェブページをブラウズしただけでこの種の攻撃が実行されてしまうこともあり得る。こういう風に考えるとよい。たとえサイバー犯罪者たちが必死の努力を注いで iOS 機器に侵入しようとしていなかったとしても、jailbreak したい人たちがその努力をしているのだ。そして、いったん jailbreak 方法がリリースされれば、悪人たちは自由にそれを攻撃のための武器に転化することができる。(そう、その通り、はっきり言ってしまえば、jailbreak は すべて セキュリティ破りの手段なのだ。)
最後にもう一つ。iOS のセキュリティは Mac OS X より相当に優れているとは言えるが、それでもまだ大きな改善の余地がある。特に、いくつかのネイティブな Apple アプリケーション、例えば Safari などについてのサンドボックスの問題がある。この点は、iOS におけるあらゆるセキュリティのリスクのうちで、Apple にとって最も対処の容易なもののはずだ。
Apple の iOS セキュリティの利点 -- iOS 機器のセキュリティに対しては他のほとんどすべてのモバイル機器よりも鋭い監視の目が注がれている(例外としては RIM の BlackBerry や、Google の Android が大きな注目を浴びつつあることが考えられるだろう)けれども、それと同時に、iOS 機器には大きなセキュリティ上の利点もいくつか存在している。
今のところ、セキュリティが優勢 -- セキュリティの課題と利点とを全体的に見比べれば、Apple の iOS 機器は現在強い立場にいると言える。プラットフォームとしての基本的セキュリティは、改善の余地はあるとしても、うまくデザインされている。このプラットフォームに大がかりな攻撃をしようとすれば、そのために必要となる技術レベルは Mac を攻撃するのに必要なレベルよりもずっと高い。悪人たちにとって攻撃への動機がいくら高いとしても、このレベルの壁は厳然としている。
このプラットフォームをもっとオープンにして、例えばアンチウイルスツールのような追加のセキュリティソフトウェアを許容できるようにすべきだという声もあった。(主としてアンチウイルスソフトウェアのベンダーから聞こえていた。)けれども私の意見としては、Apple には引き続きしっかりとネジを締め付けて、クローズドなシステムにもっと依存し、パッチの回数をもっと多くし、サンドボックスをもっと使って欲しいと思う。Apple にとって最も重要な改善点は何かと言えば、それは認知度の向上、レスポンスの高速化、そして、セキュリティの危険が何を意味し得るかについて、より深く理解することではないだろうか。
それに、たとえ今すぐ Apple がこれに応えてくれなかったとしても、広範囲のアタックの最初の実例が登場する日が来れば、否応無しに Apple も応えてくれることになるだろう。
コメントリンク11505 この記事について | Tweet リンク11505
文: TidBITS Staff <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
VMware Fusion 3.1.1 -- Intel ベースの Mac 上で Windows やその他のオペレーティングシステムを走らせることができるようにする VMware Fusion が、バージョン 3.1.1 にアップデートされた。メンテナンス中心のアップデートではあるが、今回から VMware vSphere 4.1 がゲストオペレーティングシステムとしてサポートされ、余分のハードウェアを必要とせずに ESX が走らせられるようになった。ただし現在のところこの機能は実験的なものとされており、同社では実働環境でこれを使わないようにと警告している。今回のアップデートではまたある種の iSight カメラでの問題点に対処し、ホストがクラッシュした際に誤ったディスクエラーのメッセージが出ていたのを削除し、オーディオ録音が 44.1 kHz でしか動作しなかった問題を修正している。VMware Fusion は Mac OS X 10.4.11 かそれ以降を要し、当然ながら Windows オペレーティングシステムをインストールしたい場合はそのオペレーティングシステムが必要だ。アップデートのダウンロードは VMware Fusion 自体の中からもアクセスできるし、また VMware ウェブサイトからもできる。(新規購入 $79.95、アップグレード無料、434 MB)
VMware Fusion 3.1.1 へのコメントリンク:
Things 1.3.5 -- Cultured Code が、その旗艦製品であるタスク管理アプリケーションThings に一連の修正を施した。バージョン 1.3.5 アップデートではクラッシュのバグがいくつか解消された。特に、Today 表示の中で to-do 項目にスケジュール変更をした際のクラッシュがなくなった。その他の改善点としては、Custom iCal Sync を使用した際に iCal カレンダーが見えなくなっていた問題や、表示によって to-do 項目をダブルクリックすると正しくない項目が開くことがあった問題、それからタグでフィルタ付けした際の to-do 項目の並べ替えの問題が修正された。詳細にわたるリリースノートには他にも多数の修正点が挙げられており、ローカライズ版の問題点や、ツールバーのアイコン、夏時間、プロジェクトタグ、その他さまざまのユーザーインターフェイスの問題点にも対処が施された。(新規購入 $49.95、アップグレード無料、8.0 MB)
Office 2004/2008 Security Updates -- Microsoft が、同社の Office スイートにおけるさまざまのセキュリティの問題に対処したセキュリティアップデートを三つリリースした。アップデートは Microsoft Office 2008 for Mac 12.2.6 Update、Microsoft Office 2004 for Mac 11.6.0 Updateそれに Open XML File Format Converter for Mac 1.1.6 の三つで、悪意を持って作られたファイルを Excel や Word で開くとアタッカーがあなたの Mac 上でコードを実行できてしまう問題をパッチしている。さらに、Office 2008 アップデートでは Microsoft Entourage のタイムゾーン情報もアップデートするとともに、Excel が起動時、マージしたセルを並べ替えた時、あるいはセルを編集した時に起こることのあったクラッシュも修正している。これらのアップデートは無料で、Microsoft では Office ユーザーたちができる限り早くこれらをインストールすることを推奨している。注意しておかなければならないのは、インストールプロセスの途中で決してキャンセルしたり中断したりしないことだ。それをすると、あなたの Office インストールが機能しない状態に陥ることがあり得る。(もしもそうなってしまった場合は、まずオリジナルのメディアから再インストールし、その後必要なアップデートのインストールをすべて済ませるまで、決して Office を使ってはならない。)
Office 2004/2008 Security Updates へのコメントリンク:
コメントリンク11515 この記事について | Tweet リンク11515
文: TidBITS Staff <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
今週は手早く二つの話題だけにしよう。まず、比類なき Nitrozac と Snaggy に、彼らの漫画 Joy of Tech の 10 周年記念に心からのお祝いを捧げたい。それから、スマートフォンのパスワードがスクリーン上の汚れ具合を見ただけでハックされてしまうかもしれないと論じた学術論文へのリンクもある。
漫画 Joy of Tech が 10 周年を祝う -- おめでとう! テクノロジーに話題を絞った Nitrozac と Snaggy の漫画 Joy of Tech が、10 周年を迎えた。私たち TidBITS の面々も皆、ずっと以前からこの漫画を愛読してきた。まだお読みでない方々は、とても楽しいことを見逃している。これはテクノロジーをめぐる最高のユーモアで、Apple の世界に皮肉たっぷりの重点が置かれることも多いのだから。
スマートフォンで画面の汚れをハックされる危険あり (PDF) -- この問題で過度の被害妄想に陥る必要はないが、Pennsylvania 大学のセキュリティ研究者たちが、Android スマートフォンのスクリーンを写真撮影して汚れのパターンを分析するだけでグラフィカルなパスワードが読み取れてしまうという研究結果を発表した。実際にこのアタックが広く行なわれているということはありそうにない。なぜなら、それができるためにはスマートフォンを実際に手にするか、あるいは同じパスワードが他でも使われているかしなければならないし、その上スクリーンは簡単に拭き掃除できるからだ。けれども、意外なところにセキュリティの脆弱性が存在するものだという点で、これは興味深い。
コメントリンク11514 この記事について | Tweet リンク11514
TidBITS は、タイムリーなニュース、洞察溢れる解説、奥の深いレビューを Macintosh とインターネット共同体にお届けする無料の週刊ニュースレターです。ご友人には自由にご転送ください。できれば購読をお薦めください。
非営利、非商用の出版物、Web サイトは、フルクレジットを明記すれば記事を転載または記事へのリンクができます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありません。告示:書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。TidBITS ISSN 1090-7017
©Copyright 2010 TidBITS: 再使用は Creative Commons ライセンスによります。
, 
日本語版最終更新:2011年 1月 8日 土曜日, S. HOSOKAWA