GCHQのCESG(通信・電子セキュリティ・グループ)保証部門は、家電大手のAppleにOS Xのバグを報告し、同社が先週パッチを当てた。
英国の信号諜報機関は、外国政府やその他の標的をスパイするためにソフトウェアの脆弱性を見つけて悪用することで、セキュリティ業界ではよく知られているかもしれないが、保証部門を通じて欠陥を明らかにすることもある。
問題の欠陥が既に役目を終え、そもそもあまり役に立たなかったからなのかは定かではない。あるいは、この欠陥が西側諸国の政府や企業にとってリスクと判断され、サイバーバールとしての有用性よりも重要視されなかった可能性もある。
ただ分からないだけです。
Apple は、与えられた馬の口を探ろうとはせず、CESG からのバグの通知を受けて、IOFireWireFamily テクノロジの欠陥を修正することで、コード インジェクションのリスクを生み出すメモリ破損の問題を修正することを決定しました。
CESGはAppleのバグ報告で評価された[出典:Appleセキュリティアドバイザリ]
GCHQ の CESG 部門はまた、今月のパッチ バッチで同様に解決された Mac OS X カーネルのメモリ破損問題を報告したことでも共同で評価されています。
GCHQ傘下組織からの支援は、あまり注目されていないものの、決して前例のないものではありません。GCHQのCESG部門も、3月にAppleのアップデートで修正されたバグを報告しており、これは以前ここでも指摘しました。
この協力の重要性を測るのは難しいが、これまでの諜報機関の慣行に反するものだ。GCHQやその米国版NSAのような、攻撃と防御の両方の役割を担う情報機関では、攻撃は常に防御よりも優先される、と元米陸軍情報分析官が数年前に賢明にも示唆していた。
OS X El Capitan v10.11.5 の内容と、それ以前のシステム向けのセキュリティアップデート 2016-003 の詳細については、こちらの Apple のアドバイザリをご覧ください。®
