Appleと、同社のiOSデバイスを「解放」しようとする人々とのいたちごっこが、水曜日にJailbreakMe 3.0が公開されて再び始まった。JailbreakMe 3.0は、iPhone、iPod Touch、iPadをハッキングして、Appleが承認・配布していないソフトウェアをデバイスにインストールできるようにするウェブサイトだ。
このサイトは、iPad 2をサポートする初の「脱獄」であり、「アンテザード」脱獄を提供している。つまり、このサイト経由でハッキングされたデバイスは、他の「テザード」脱獄オプションとは異なり、起動するためにコンピュータに接続する必要がない。
これに対して Apple は iOS の脆弱性を認め、現在の iOS バージョン 4.3.3 までのバージョンのモバイル オペレーティング システムに存在するこれらのホールの修正に取り組んでいることを発表しました。
iOSユーザーにとってさらに懸念されるのは、ドイツ連邦情報保安庁が水曜日に発表した警告です。iOSにはセキュリティ上の欠陥があり、細工されたPDFファイルを利用することで個人情報を盗み、さらには携帯電話の内蔵カメラ、電話、GPS機能にアクセスされる可能性があると警告が出されました。JailbreakMeはまさにこの種のPDFの欠陥によって可能になったのです。
セキュリティソフトウェアベンダーのシマンテックが、理論上はiOSはAndroidより安全だというレポートを発表してからわずか数日後、企業がモバイルデバイスのセキュリティについて混乱するのも無理はないだろう。
PDFバグの回避
現時点では、JailbreakMe を除いて、PDF の脆弱性が悪用された実例は確認されていない点に留意する必要があります。しかし、悪意のある第三者が iOS デバイス上の企業の機密データに無制限にアクセスするという潜在的な悪夢に対処する iOS アップデートがリリースされるまでは、いくつかの常識的な対策を講じる必要があります。
このバグは、iOSデバイスのSafariウェブブラウザにおけるPDF文書のフォント処理に関係しています。言い換えれば、攻撃を実行するには、デバイス上のSafariでPDF文書を開く必要があります。
Appleから修正プログラムが提供されるまでは、社内でiOSデバイスを使用しているすべての人にこの脆弱性とリスク軽減策を周知徹底することが賢明です。デバイスでPDFファイルを開く際には注意を払うのが妥当な方針ですが、より厳しい対策としては、追って通知があるまでiOSデバイスでのPDFファイルの使用を一切禁止することが挙げられます。
ただし、このバグはSafariウェブブラウザにのみ影響する点に留意することが重要です。メールで送信され、そのファイルを読み込める特定のアプリで開かれたPDFファイルは、同様の脆弱性の影響を受けません。ユーザーがこの違いを理解し、危険信号を認識できるようになれば、お気に入りのアプリでPDFファイルを開いても問題なく動作するはずです。
しかし、PDFファイルを避けるという点にとどまらず、この欠陥とJailbreakMe 3.0のリリースは、iOSデバイスを脱獄すべきか否かという議論を再び呼び起こしました。Apple認定のチャネルでは入手できないソフトウェアや機能が豊富に存在するため、特に個人用デバイスでは脱獄は魅力的です。
脱獄の問題点
しかし、大多数の企業にとって、デバイスの脱獄に伴うリスクは、個人的な利益をはるかに上回ります。未知の、あるいは信頼できない可能性のあるソースからのソフトウェアにアクセスするリスクがあります。サポートを受けられないリスクもあります。デバイスが修理に持ち込まれると、Appleは脱獄の痕跡がないかチェックし、発見された場合は保証サポートを拒否します。
さらに、安定性と寿命が失われるリスクもあります。デバイスを脱獄したユーザーは、最善の場合でも、iOSを最新バージョンにアップグレードして新機能や修正プログラムを入手するか、現在のOSを使い続けて脱獄アプリを維持するかという選択を迫られることになります。最悪の場合、iOSデバイスが使用不能になるリスクもあります。
いずれにせよ、これはあらゆる企業にとってサポートとポリシーの課題を表しており、iOS デバイスのユーザーに対して、企業がジェイルブレイク行為を避けることを期待していること、およびそのポリシーが導入されている理由を必ず知らせることが賢明です。
脱獄の(潜在的な)利点
企業が社内ネットワーク上で使用されるデバイスの Jailbreaking を奨励したり許可したりすべきだと言うのは、確かに無理があるが、JailbreakMe.com のエクスプロイトは、デバイスをサポートする開発者の幅広く熱心でオープンなコミュニティを持つことのスピード上の利点を指摘している。
AppleがOSの脆弱性に対するパッチの開発に取り組んでいる中、JailbreakMeの開発者の一人が、厄介なPDFの脆弱性を修正する新しいソフトウェア「PDF Patcher 2」を公開しました。しかし、注目すべき点は、このソフトウェアを利用できるのは、デバイスをジェイルブレイクし、ジェイルブレイク済みスマートフォン向けアプリケーションのリポジトリである非公式アプリストア「Cydia」にアクセスできるユーザーのみだということです。
「Appleがアップデートをリリースするまでは、皮肉なことに、ジェイルブレイクが安全を保つ最善の方法となるだろう」とJailbreakMeサイトのFAQページには記されている。
