アップルは、人工知能(AI)によって加速するサイバー攻撃の脅威の高まりを受け、セキュリティパッチの適用方針を変更しています。
同社はこれまで、大規模なバグ修正をまとめて新しいオペレーティングシステム(OS)バージョンのリリース時に提供する方針を取ってきました。しかし、この方針が変わろうとしています。同社は6月29日、iPhone、iPad、Macbook、Safariブラウザ向けに、大型バージョンリリースとは切り離した形でさまざまなセキュリティアップデートをリリースしました。セキュリティアップデートを定例外でリリースすること自体は初めてではありませんが、今回はその動機が異なっていました。ロイターによると、同社は「AIが悪意あるハッキングツールの開発を加速させ得る現実に対応するため、アップデートの公開から実際に顧客の手元に届くまでの時間を短縮する必要があった」と説明しているとのことです。
「パッチ適用の迅速化は有効だとは思いますが、それだけではギャップを完全に埋めることはできません。依然として単一の防御ポイントであり、何かがすり抜けた場合のフォールバックがないからです」と、iVerifyのCEOであるRocky Cole氏は警告します。「そして、AIによって加速する脆弱性発見に対しては、必ず何かがすり抜けてしまうでしょう」
Dark Readingは本件についてアップルにコメントを求めています。
アップルがパッチ適用ペースを変更する理由
記者団への説明の中で、アップルは今回新たに公開した修正はいずれも実際に悪用されている脆弱性には関係しないと強調しました。つまり、既知のサイバー攻撃に対処することが目的ではなく、全般的にアップデートの頻度を増やすことが狙いだったというわけです。
「パッチ適用ペースを見直す必要性については、データを見れば議論の余地はありません」とCole氏は、Mandiantの「悪用までの時間(TTE)」の調査結果を引き合いに出しながら語ります。「2018年当時、悪用までの平均時間は約63日でした。しかしこの2年間で、この数値は実質的にマイナスへと転じています。つまり、攻撃者は平均して、パッチが公開される前の段階ですでに脆弱性を武器化するのが当たり前になっているということです。ゼロデイ脆弱性は今や、平均してnデイ脆弱性よりも多く悪用されるようになっています」
Cole氏自身もこの変化を肌で感じています。OpenAIの「Trusted Access for Cyber」プログラムを通じて、自社のために新興のAIモデルをテストしてきたといいます。「すでに十数件のバグを発見しており、そのうちの1件はアップルによってCVEとして認定されたばかりです。場合によっては、AIツールを使ってそれらを実際の悪用にまでつなげることもできています」と同氏は述べます。
同氏はさらにこう強調します。「私たちは小さなチームです。この作業を担当する研究者は2人だけで、プログラムに参加してからまだ2カ月ほどしか経っていません。このAI主導の新しい脆弱性発見はまだ始まったばかりの段階です。それでもこれだけの成果が出ているのですから、従来のパッチ適用モデルが破綻しており、更新が必要だったことは疑いようがないと思います」
ユーザーは実際にパッチをダウンロードするのか
アップルがセキュリティ修正をOSアップデートのためにまとめて温存しがちな傾向は、サイバーセキュリティ業界では不評です。理由は明白で、ユーザーがより長期間にわたって脆弱性にさらされることになるからです。
さらに厄介なことに、アップルの顧客はこれまで、セキュリティ更新とユーザビリティ更新をセットで受け取ることに慣れてきたため、多くの人がアップデート自体を避けるようになっています。アップルはこれまで、最近の「Liquid Glass」デザインのように、ユーザーインターフェース(UI)に物議を醸す変更をたびたび加えてきました。気に入らない変更を何度もダウンロードさせられてきたユーザーは、たいてい最終的にアップデート自体をやめてしまいます。一方でセキュリティは、日々触れるUIやユーザー体験(UX)機能に比べれば二の次にされがちです。
Cole氏は次のように振り返ります。「先週、iOS 16のままだったユーザーがCorunaに感染した事例をちょうど確認したところです。本人に連絡を取ったところ、新しいユーザーインターフェースが気に入らずアップデートを見送っていたと話していました。つまり、人々がインストールしなければ、パッチ適用を迅速化しても意味がないのです」
それでも不十分なiOSのセキュリティモデル
Cole氏によれば、アップルの新しいパッチ適用方針は前向きな動きではあるものの、特にiOSユーザーを保護するにはまだ十分ではないといいます。まず先ほど述べた通り、攻撃者は今やnデイ脆弱性よりもiOSのゼロデイ脆弱性を悪用する機会の方が多くなっています。
「iOSのセキュリティモデルは異例の存在です」と同氏は言います。「世界で広く使われているコンピューティングプラットフォームの中で、まともなセキュリティフレームワークを備えていないのはiOSだけです。セキュリティコミュニティが基盤として活用できるようなEDR(拡張検知・対応)やEDR(エンドポイント検知・対応)層に相当するものが存在しません。しかもそのエコシステムは、サードパーティ製のサイバーセキュリティツールに対して閉ざされています。アップルのモデルは基本的に『我々を信頼してくれれば、デバイスは我々が守る』というものなのです」
これは個人ユーザーよりも企業にとってさらに深刻な問題でもあります。というのも、ほとんどの企業は互換性の問題やクラッシュを避けるため、N-1のパッチ適用戦略を採っているからです。「この角度から問題を分析すると、実行可能な唯一の解決策は、他のあらゆるエンドポイントと同様に、企業が自らの手で防御を行えるようにするセキュリティフレームワークをiPhoneに搭載することだと思います」とCole氏は述べます。
同氏はさらにこう付け加えます。「これだけ長い年月が経った今もなお、『自力で何とかする』というセキュリティモデルは破綻している、とはっきり言う人がいないのは、少々奇妙なことです」
翻訳元: https://www.darkreading.com/cybersecurity-operations/apple-patch-policy-ai