Apple は、同社の最新の iOS メジャーバージョンである iOS 9 をリリースしました。このバージョンには、(ユーザー中心の機能の中でも) 多くのセキュリティ機能とセキュリティ パッチが含まれています。
多くのセキュリティパッチ
iOS 8は、これまでのiOSの中で最もバグが多いバージョンの1つとみなされ、Appleは次期バージョンでOSの改良にさらに力を入れることになりました。iOS 8には100を超えるセキュリティホールがあり、その多くは非常に恐ろしいもので、TLSの傍受を可能にするバグ、任意のコード実行が可能なテキストファイル、RSA秘密鍵を簡単に盗むことができるホール、権限昇格を可能にするバグなど、多岐にわたります。
iOS 9ではこれらすべてが修正されているため、ユーザーはこの点においてより安心できるはずです。ただし、まだ発見されていない問題が何なのかは不明であるため、Appleの今後のセキュリティアップデートリストがどの程度になるかは現時点では不明です。しかし、Appleはすでに多くの脆弱性を修正しているため、iPhoneユーザーはこの点だけでもiOS 9にできるだけ早くアップデートすることをお勧めします。
6桁のPIN
iOS 9 にはさまざまなセキュリティ パッチが導入されているほか、iPhone の安全性を大幅に向上させるセキュリティ機能も多数あります。
主要なものの一つは、従来の4桁のPIN認証システムに代わり、6桁のPINがデフォルトになったことです。4桁のPINであれば1万回試行すれば「推測」できますが、6桁のPINでは100万回試行する必要があるため、この改善は100倍です。
ネイティブ2要素認証
「ファッペニング」事件で著名人のデータ漏洩が発生した際、iCloudの優れた2要素認証システムがあればデータを保護できたはずだと多くの人が主張しました。Appleは事後にその点を指摘しましたが、今回、iOS 9とMac OS X「El Capitan」の両方で2要素認証の完全なネイティブサポートを追加することで、さらに一歩前進しました。
仕組みは、新しいデバイスやブラウザからサインインするたびに、スマートフォンや他のAppleデバイスに表示される確認コードの入力を求められます。これにより、パスワードを入手した可能性のある人(単純なパスワードを使用した場合、総当たり攻撃を受けた場合、または別のサイトでパスワードを使用していた場合など)によるアクセスをブロックできます。なぜなら、彼らも認証に2ファクタコードを必要とするからです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
VPN API
AppleはiOS 9にパブリックVPN APIを組み込みました。これによりVPNサービスが利用可能になり、オープンWi-Fiホットスポットの利用時やプライバシーが重視されるウェブサイトへのアクセス時に、ユーザーのセキュリティとプライバシーを保護できるようになります。また、このVPN APIは、AndroidのOrbotと同様に、iOSでもTorを利用可能にする可能性があります。
このAPIは様々なコンテンツブロッキングを可能にする可能性があり、これはAndroidで実際に起こったことです。Androidでは、Googleが広告ブロッカーを特に禁止対象としています。しかし、iOS 9には別のコンテンツブロッキングAPIも搭載されているため、特にこの方法では閲覧データを広告ブロッカーに預けなければならないことを考慮すると、VPN APIが今後この目的であまり使われることはなさそうです。
LibreSSL サポート
iOS 9とMac OS X "El Capitan"以降、AppleはOpenSSLからLibreSSLに切り替えました。LibreSSLはOpenSSLのフォークですが、OpenBSDグループによって大幅に改善されています。このフォークはHeartbleedが発見された直後に作成され、OpenBSDの開発者たちはOpenSSLの使用継続はもはや容認できないと認識しました。Googleも独自のOpenSSLフォークであるBoringSSLに移行しました。
アプリトランスポートセキュリティ(ATS)
AppleはiOS 9でATSも導入しました。これにより、開発者はアプリにHTTPS暗号化を導入できます。ATSは、最新のTLS 1.2プロトコルやPerfect Forward Secrecy(PFS)暗号スイートのみを使用するなど、強力なデフォルト設定により、適切な方法で簡単に実装できます。
これによって、iOS プラットフォームは Web 自体よりもはるかに安全になる可能性があります。Web では、ほとんどのサイトが TLS 1.2 や PFS 暗号スイートどころか、HTTPS を導入するだけでもまだ非常に遅いからです。
ユーザーのために、GoogleはAndroidへのこの種の機能の導入にそれほど遅れをとるべきではないでしょう。しかし、すべての広告ネットワークがまだHTTPSをサポートしていない可能性があるため、GoogleはすでにiOS開発者にこの機能の実装を延期するよう勧告しているようです。これは、GoogleがAndroidへのアプリトランスポートセキュリティの導入を急いでいないことを示唆しているのかもしれません。
Google は、ATS の採用を遅らせるのが目的だったことを否定し、実際には誰もが HTTPS を完全に使用することを望んでいますが、その逆 (Google がネットワーク上で HTTPS 暗号化をまだ採用していない広告主を強制または排除する) ではなく、iOS 9 アプリを Google Mobile Ads SDK と互換性を持たせるために ATS の回避策について具体的にブログ記事を書くことを選んだのは、やはり奇妙です。
証明書の透明性
ATSの最も優れた機能の一つは、Googleが開発した証明書の透明性(Certificate Transparency)です。これは、新しいデジタル証明書をより簡単に監査し、偽造や悪意のあるものではないことを確認するためのシステムです。Certificate Transparencyの導入はまだ初期段階であるため、Appleがいち早く導入したことは大きな動きと言えるでしょう。
Googleは今年、 Chromeの証明書ルートストアから中国の認証局(CA)を削除し、中国の認証局が証明書の透明性(CT)を採用するまでは再導入を許可しないと発表しました。Appleは過去に偽造証明書やTLSインターセプションに関して中国政府と問題を抱えており、これがGoogle以外のプラットフォームベンダーとして初めてCTを採用することを決定した理由の一つと考えられます。
まだ初期段階であり、証明書の透明性(CT)をサポートする証明機関はそれほど多くないため、ATSではこの機能はデフォルトで無効になっています。ただし、開発者がCT対応の証明書をお持ちの場合は、この機能をオプトインできます。
その他のセキュリティ機能
iOS 9 では、位置情報や自動参加スキャンに適用される MAC アドレスのランダム化が改善され、Safari 9 の暗号スイートのリストがより整理され改善されたほか、Safari 9 用の Apple 署名およびホスト拡張機能 (Chrome や、近々 Mozilla にも導入される) も導入されました。
@tomshardware 、 Facebook 、 Google+でフォローしてください 。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
