2011年4月14日、AppleはMac OS Xのセキュリティ修正を行う「セキュリティアップデート2011-002」のリリースを開始しました。
これは、OS Xのソフトウェア・アップデート機能またはAppleのダウンロードサイトから入手することも可能です。
今回この対象となったのは、Mac OS X 10.6.7および10.5.8となっています。
この「セキュリティアップデート2011-002」は、SSL認証局であるアメリカのComodo社が不正なSSL証明書を発行してしまった問題(Certificate Trust Policy(Web認証局証明書ポリシー)が原因で機密情報を奪取される脆弱性)に対応し、その不正なSSL証明書をブラックリストに登録しフィルタリングすることで処理を行うものです。
SSL(Secure Socket Layer:Netscape Communications社が開発)とは、インターネット上やりとりされる情報を暗号化して送受信する通信プロトコルといわれるものです。
たとえば、InternetExplorerなどでインターネットショッピングする際にウィンドウ右下に鍵のアイコンマークなどを見かけることがあると思いますが、まさしくそれがSSL通信にあたります。
その他、ブラウザのアドレス欄の先頭が「https://」となっていることでも確認できます。
(通常の非暗号化サイトは「http://」)
上記のような信頼ある第三者機関(企業)が発行したデジタル証明書をもとにデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業秘密などを安全に送受信することを目的としていますが、今回の事件はその発行元自体が不正証明を出してしまったことに端を発しており、まさに本末転倒といえます。
SSLは、公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などの技術を組み合わせてデータの盗聴や改ざん、なりすましを防ぐもので、これまでそれを100%に近いかたちで信頼し利用されてきましたが、裏を返せば、いつでもこのようなヒューマンエラー(人災)による危険性にさらされることを証明しています。
ウィルス知らずのOSとしてWindowsに対しての比較広告的なTVCMを流していたこともあるMac OSですが、現在ではその組成自体も含め、かならずしもApple一社の技術で成り立っているわけではなく、セキュリティ上のことも含め常にリスクがあることを確認しなければならないはずです。
「セキュリティアップデート2011-002」情報
http://support.apple.com/kb/HT4608
「セキュリティアップデート2011-002」ダウンロード先
Security Update 2011-002 (Leopard – Server)
http://support.apple.com/kb/DL1375
ダイレクトリンク:ファイルサイズ473.19 MB
http://support.apple.com/downloads/DL1375/en_US/SecUpdSrvr2011-002.dmg