Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

史上最大の流出は内部から

2月10日のMotherboardの記事に、アップルが「iBoot」のソースコードを漏えいした件の続報がありました。

motherboard.vice.com

オリジナル記事は同じくMotherboardの2月8日記事になります。この記事中では、「iBoot」の流出を史上最大の流出と評しています。

motherboard.vice.com

アップルといえば、セキュリティ管理が最も厳重といわれる会社のひとつ。今回のソースコード流出は何が原因だったのか気になっていたのですが、2/10記事にて内部リークの大まかなポイントが見えてきました。

※尚、「iBoot」機能の詳細などは、engadgetさんや、iphone-maniaさんが既に記事化していますので、以下をご覧下さい。

japanese.engadget.com

iphone-mania.jp

内部リークの部分について、今回の記事でも詳細のところは見えませんが、経緯が良くまとまってました。まず最初に、Low-levelアップル従業員が本部で働いていた2016年に、「全ての種類のAppleの内部ツールとそれ以外」を引っ張ってきたととApple内部関係者がMotherboardに語っています。

従業員の「脱獄コミュニティ」の友達2人がオリジナルのコードを受領し、彼らのセキュリティ研究のために従業員に更なるアップルの内部コードの漏えいを要求します。iBootのソースコードと追加のコードは、小さなグループの最大5人に対してリークされました。この内容は、最終的にGitHubでの公開されたファイル以外のものも含まっています。従業員あるいは、その友達らは取材に対して「対外的に公開するつもりはなかった」と言いますが、1年後には何らかの理由で脱獄コミュニティに広がります。2017年秋からはDiscard、RedditGitHubへと情報が更に拡散され、AppleGitHubに対してソフトウェアコードの著作権違反で、掲載コードの削除を依頼しました。

 

AppleはTechCrunchの取材に対して、内部リークを認めましたが、

techcrunch.com

“Old source code from three years ago appears to have been leaked,” the company said in a statement provided to TechCrunch, “but by design the security of our products doesn’t depend on the secrecy of our source code. There are many layers of hardware and software protections built into our products, and we always encourage customers to update to the newest software releases to benefit from the latest protections.” 

(TechCrunch記事より引用)

iOS9のソースコードで、その他にもハードとソフトの多層防御でセキュリティを維持しているので(ソースコード流出の)影響は少ないと語っています。

 

◆キタきつねの所感

改めて続報を見ても、、実はいまいちシックリこない所があります。今回の犯人(従業員)は英文記事においては「A low-level Apple employee」と表現されています。訳すならば「アップルの一般従業員」という感じになるかと思うのですが、その権限の低そうな従業員が何故アップルの心臓部(の1つ)である「ソースコード」を見れてしまったのか?という部分です。記事の表現が正しいのであればアップルの機密管理(特権ユーザ管理、あるいは開発者ソースコード管理)に問題があるという事に他ならず、スティーブ・ジョブズが存命であれば、何人も首が飛んだ事は疑いようもありません。

iOSの脱獄を試みるような(悪い)友達が近くに居たという事から考えるに、社内から(権限を越えるために)ハッキングをしたのでしょうか?

 

いずれにせよ、世界最高峰とも評される(ていた)アップルの機密管理は、転換期にあると言えるでしょうし、あのアップルですら内部犯罪でやられるのだから、自社も気をつけよう・・・という日本企業への警鐘であるとも言えるかも知れません。

 

参考:

foxsecurity.hatenablog.com

かじったリンゴのイラスト

 

 

更新履歴

  • 2018年2月11日 PM(予約投稿)