Appleに対し「いつになったらセキュリティ対策に真剣に取り組むのか」という批判

taraiok 曰く、　3月22日、AppleはApple IDのパスワード再設定ページで、ユーザーのメールアドレスと誕生日がわかっていれば、パスワードをリセットできる脆弱性が発見されたので修正したと発表した。修正は行われたものの、修正には数日の日数を要したものと見られている（/.J過去記事）。この脆弱性問題を最初に取り上げたTHE VERGEに「Appleはセキュリティに対していつになったら真剣に取り組むのか」という記事が掲載されている（THE VERGE、本家/.）。

　この脆弱性を悪用すれば、電子メールやiMessage、iChatを使ったなりすましができ、クラウド上に置かれているデバイスのバックアップ、クレジットカード番号、メールアドレスといった個人情報を取得できた。記事では、この脆弱性は技術的には非常に初歩的なもので、二階の窓の鍵は掛けたものの、正面玄関を開けたままにしたようなものだと指摘している。また、こうしたセキュリティ対策はAppleの収益に直接寄与しない点から優先順位が低く、Appleの取り組みに真剣みが足りないとしている。

　さらに、AmazonやMicrosoftなどの多くのクラウド・サービス・プロバイダは、詳細なプライバシーポリシーやセキュリティポリシーを持っており、セキュリティを調査するために第三者機関にチェックさせるなどの努力している。しかし、Appleは秘密主義を貫いており、外部の人間どころか社内の開発者に対しても、セキュリティ監査がどう行われるかを明らかにしていない。

　本家/.のタレコミによれば、こうしたことを証明するかのように、最近ではiOSアプリの開発者を中心にiMessageを利用した大量のスパム攻撃が発生しているという。強制的にテキストでiOSまたはMac上のMessagesアプリを埋めることでシステムが機能不全になるなるケースもあるようだ。TNWの記事によれば、Appleはメッセージの送付方法に制限を掛けていないため、攻撃者が数千のメッセージを素早く送ることができるとしている（TNW、CNET）。

　スラッシュドットのコメントを読む | アップルセクション | セキュリティ | アップル

　関連ストーリー：
Apple IDのパスワードを生年月日だけでリセットできる脆弱性が見つかる 2013年03月23日
Apple、セキュリティアップデートでJavaプラグインを無効化 2012年09月11日
Apple、先週から「ウィルス対策しなくて良い」と言わなくなる (ただし本家) 2012年06月27日