Appleは、セキュリティ上の欠陥を指摘し、それを実証したセキュリティ研究者のチャーリー・ミラー氏をiOS開発者プログラムから追放したとCNETが報じており、昨日の記事でもお伝えしました。ミラー氏はTwitterで追放を発表しました。
ミラー氏が発見し指摘したセキュリティ上の欠陥により、悪意のある開発者が、Apple ユーザーに気付かれずにデバイス上の危険な JavaScript コードを密かに悪用できるアプリを作成できる可能性がある。
ミラー氏は脆弱性を実証するビデオを公開し、来週のSysCanカンファレンスでこの問題の詳細を明らかにする予定だ(ただし、Appleが問題に対処できるよう詳細は伏せておく)。残念ながら、Appleはセキュリティ研究を重視しておらず、研究者を尊重していないようだ。
セキュリティ研究者が脆弱性の原因となった企業にエクスプロイト情報を共有するのはよくあることですが、ミラー氏はAppleに連絡を取り、状況について問い合わせようとしました。おそらく重要なのは、Appleが修正プログラムをリリースするまでこの問題について沈黙を守るのではなく、インターネット上で脆弱性を共有したという事実です。
しかし、アップルはミラー氏がインターネット上でこの脆弱性について語ったことを快く思わず、欠陥のあるアプリの提出に関わる違反行為として同氏の開発者アカウントを停止した(ちなみにアップルはこれを承認した)。
それでも、研究という名目で、そしてAppleの利益のために脆弱性を指摘していたミラー氏が、ただ研究をしていたというだけで開発者プログラムから排除されたのは不安だ。チャーリー・ミラー氏は最終的にはApple側に立った。
もしかしたら、次回はミラー氏がAppleに研究成果を共有せず、むしろそれを他者に利用して社会の脅威となるかもしれない。よくやった、Apple。よくやった。Appleがミラー氏に宛てた書簡全文は以下をご覧ください。
送信者: [email protected]
件名: 終了通知
日付: 2011年11月7日 午後4時49分34秒 CST
宛先: [編集済み]チャールズ・ミラー様
この通知は、お客様と Apple との間の iOS 開発者プログラムライセンス契約 (以下「iDP 契約」) および登録 Apple 開発者契約 (以下「登録開発者契約」) の終了をただちに通知するものです。
iDP契約の第3.2条(f)項に従い、お客様は、「Appleソフトウェアまたは関連サービス、本契約の趣旨、またはAppleのビジネス慣行を妨害することを意図したいかなる行為(App Storeまたはプログラムのパフォーマンスまたは意図された使用を妨げる可能性のある行為を含むがこれに限定されない)も行わない」ことに同意したものとします。さらに、iDP契約の第6.1条に従い、お客様は、「提出したアプリケーションの機能、コンテンツ、サービス、または機能をAppleの審査から隠蔽、虚偽表示、または不明瞭化しようとせず、またはその他Appleが当該アプリケーションを完全に審査することを妨害しない」ことに同意するものとします。Appleは、お客様が意図的に本来の用途とは異なる動作をするアプリケーションを提出することにより、本項に違反したと信じるに足る十分な理由を有します。
Appleは、独自の裁量により、いつでもお客様のApple登録開発者としてのステータスを解除することができ、iDP契約に関連する不正行為または誤解を招く行為があった場合、iDP契約に基づく通知をもって解除することができます。Apple登録開発者として、またiDP契約に基づきAppleから取得したすべてのソフトウェアおよびその他の機密情報に関するお客様の義務について、改めてお知らせいたします。お客様は、これらの資料の使用を直ちに中止し、破棄するとともに、iDP契約第12.3条および登録開発者契約第8条に定められたその他の解除義務を遵守する必要があります。
この書簡は、本件に関する事実の完全な記載を意図したものではなく、また、この書簡のいかなる内容も、Appleが有するいかなる権利または救済手段の放棄と解釈されるべきではありません。これらの権利または救済手段はすべてここに留保されます。最後に、お客様の行為の性質を考慮し、iOS開発者プログラムへの再申請を少なくとも1年間拒否することをご承知おきください。
よろしくお願いいたします。Apple Inc.
