Oligur

• ニュース

セキュリティ調査会社Corelliumは月曜日、モバイルアプリとデバイスのプライバシーとセキュリティに関する独立した研究を支援する新たなOpen Security Initiativeを発表した。最初のターゲットは、今年後半にiPhoneユーザーに導入される予定の、Appleの物議を醸しているCSAMスキャン機能だ。

Corelliumは、Appleが自らに説明責任を果たすという姿勢を高く評価しており、同社の仮想iOSデバイスプラットフォームはあらゆるテスト活動を支援するのに最適だと考えている。同社は、研究者がこれを利用して、Appleの機能の「あらゆるコンポーネントにおけるエラー」を発見し、「システム全体を破壊し、結果としてiPhoneユーザーのプライバシーとセキュリティを侵害する」可能性があると期待している。

Corelliumは長年にわたり、セキュリティ調査を容易にするための仮想iOSデバイスの開発に取り組んできました。同社は、Appleの最新ソフトウェアを搭載した最新iPhoneモデルの「ジェイルブレイク（脱獄）」版をウェブブラウザで利用できるように提供しています。これにより、テストをより容易かつ低コストで実現できます。

最近まで、AppleはCorelliumの仮想化事業の閉鎖を求めて争っていました。しかし、2019年に同社に対して起こした訴訟は先週取り下げられました。開発専門家は、これをセキュリティ研究にとって大きな勝利と評しています。Corelliumは設立4周年を記念し、モバイルデバイスのセキュリティをさらに強化することを目的とした新たな取り組みを開始します。

Corellium、Open Security InitiativeでAppleをターゲットに

Corelliumは、新たに設立されたオープンセキュリティイニシアチブを通じて、モバイルアプリおよびデバイスに関するサードパーティの独立系研究を支援します。月曜日に発表された発表によると、同社は「あらゆるモバイルソフトウェアベンダーのセキュリティとプライバシーに関する主張を検証することを目的とした研究プロジェクト」を支援するため、資金と仮想化プラットフォームへの1年間の無料アクセスを提供しています。

Corelliumの最初のターゲットの一つは、Appleが最近発表したCSAMスキャン機能です。これはiCloudにアップロードされた児童虐待コンテンツを検出するために設計されていますが、プライバシー擁護団体は、政府の圧力により将来的に機能が拡張される可能性があると警告しています。Appleはそのようなことは起こらないと主張しており、セキュリティに関する主張を検証する独立した調査を歓迎しています。

「セキュリティ研究者は、Appleの[電話]ソフトウェアで何が起こっているかを常に調査することができるので、もし何らかの形でこの範囲を拡大するような変更が行われたとしても（私たちが行わないと約束した方法で）、検証可能性があり、それが起こっていることを研究者は見抜くことができる」とAppleのソフトウェアエンジニアリング担当SVP、クレイグ・フェデリギ氏はウォール・ストリート・ジャーナルに語った。

「サードパーティの研究者に対して責任を問うというAppleの取り組みを称賛します」とCorelliumは述べた。「当社のプラットフォームは、そうした取り組みにおいて研究者を支援できる独自の能力を備えていると確信しています。」

他社もアップルに倣うべきだ

当社の「ジェイルブレイク」された仮想デバイスは、いかなるエクスプロイトも使用せず、独自のハイパーバイザー技術を採用しています。これにより、iOSの新バージョンがリリースされるとほぼ同時に、動的なセキュリティ分析のためにルート化された仮想デバイスを提供することができます。さらに、当社のプラットフォームは、物理デバイスでは容易に利用できないツールと機能を提供します。

Corelliumは、他のモバイルベンダーがAppleに倣い、「セキュリティとプライバシーに関する主張の独立した検証を促進する」ことを期待しています。同社のOpen Security Initiativeは、モバイルのプライバシーとセキュリティの検証に関する重要な研究を奨励・支援することを目的としており、現在、初期パイロットの一部となる研究提案を募集しています。

同社は、条件を満たす応募作品最大3点に5,000ドルの助成金と、Corelliumプラットフォームへの1年間の無料アクセスを提供します。プロジェクトの要件と応募方法の詳細は、Corelliumの発表をご覧ください。