10月22日に iOS9.1 その他がアップデートされて記事を書いたのに消えてしまいました。

主に安定性の向上をはかった iOS9.1 と同時に以下のものが一気にリリースされました。

• iOS 9.1
• watchOS2.0.1
• OS X EL Capitan 10.11.1
• OS X 10.9 以上の Safari 9.0.1 リリース
• iTunes12.3.1リリース
• Xcode7.1リリース
• OS X Server 5.0.15
• MacBook EFIブートROMのアップデータ

本日 Apple Configurator 2 がアップデートされています。今までは APN設定は１つしか書けませんでしたが、Cellular用とデータ通信用の APN 設定をプロファイルにわけて記載できるようになりました。これらの設定が有効になるのは iOS 9.0.2 からで 9.0.1 ではこの設定は有効ではありません。

iOS 9 から Safari でのブラウジング時に広告をブロックするコンテンツブロッカーという機能が搭載された。この API は初期値で ON になっている。
対応しているのは iOS9 が搭載された 64ビットプロセッサーのデバイスなので、以下のデバイスは使用できない。（早い話が iPhone 6 以降、iPad Air 以降、iPad mini 2 以降、第6世代 iPod Touch 以降に対応）

【iOS9 搭載の非対応デバイス】

• iPhone 4s
• iPhone 5 および iPhone 5c
• iPad 2
• 第3世代 iPad と 第4世代 iPad
• iPad mini（初代）
• 第5世代 iPod touch

コンテンツブロッカーは広告、追跡広告などをブロックするフィルターソフトだが、Safari がこの Safari View Controller の実装によって、可能にしたのは広告ブロックだけではなく以下の３つの効果を期待してのことである。

1. 表示速度の高速化（ページロード速度）
2. データ転送量の低減
3. 結果的なバッテリーライフの長時間化

既に多くのコンテンツブロッカーが公開されていて、何がいいのか迷うところだが、有名どころでは Adblock Plus 、F-Secure Adblocker などがある。あとは個人作品が多く、ドキュメント情報は基本的に開発者の手になることなので、ここはやはり有名なところを使った方が安心感はある。

基本的な利用方法は拡張キーボードと同じような感じ。まずアプリケーションをダウンロードする。起動してもチュートリアルが表示されたり簡単な設定が行えるくらいしか機能はない。
iOS の [設定]アイコンを押して設定画面へ進み、[Safari]を選択する。

左側は広告ブロックなしの表示結果で、確かに右上と右下に広告が表示されているのが確認できる。

一方、右側の広告ブロックありの表示結果では、右上と右下に表示されていた広告が消えているのが確認できる。広告ブロックアドインは Google Chrome ブラウザ、Safari 、FireFox などでも一般的で使い慣れている方も多いと思うので、使用感はやはり違和感ないものになっている。ドキュメント解析が入るので速度も遅くなるかと思われたが、実際にはむしろ早くなっている（描画していないから）という感覚の方が強いだろう。

広告の ON/OFF は Safari のアドレスバー右端のリロードボタンを長押しすることで、OFF にすることができる。標準は ON なので普通にリロードし直せば再度ブロックされた結果を表示することができるだろう。

企業利用における Tips としては、今のところプロファイルでこの機能をオフにすることはできない。（アプリが無ければ ON でも意味はないと思われるが） iOS の監視モードとのコンフリクトだが、考えられるのは、HTTP グローバルプロキシーと、コンテンツフィルターの２つだが、この２つとも HTTP プロトコル通信で飛ぶときの迂回先プロキシー、Apple 側またはサードパーティーでのオンラインコンテンツフィルタリングサービスで、あくまでも iOS 9 で搭載されたコンテンツブロッカーはオフラインでの話しなので、優先順位としてはオンライン＞オフラインという流れと思って間違いないだろう。

iOS 9.02 がリリースされた。以下の問題が対処されている。

• スクリーンロック画面でカメラロールや連絡先にアクセスできてしまうバグを修正
• app モバイルデータ通信の使用状況の ON/OFF 切り替え設定の問題を修正
• 一部のユーザーが iMessage アクティベーションできない問題を修正
• iCloud の手動バックアップ開始後に中断されてしまう問題を修正
• 通知の受信時に画面が不適切な向きで表示されることがある問題を修正
• Podcast のパフォーマンスと安定性を向上

この中で緊急性が高い問題は、一番最初のスクリーンロック問題。

そして新しい　MacOSX EL Capitan 。いろいろな新機能が搭載されているが、エンタープライズにおいても重要なアップデートであることは間違いない。アップデートされた内容は驚くようなものではなく、ほぼ iOS 9 に追従した形である。画面分割、フォント、メモの大幅機能アップ、写真の加工処理など機能追加、メールとスケジュールのシームレスな連携や、添付ファイルブラウザなど、数多くの新機能が搭載されている。同時に 全ての MacOSX 用の Safari も多くの問題に対応したアップデートが行われているので、こちらは迷わずアップデートしておくべきである。そしてこの Safari 9 から、App Tranport Security (ATS) という、証明書のハンドリングに関する大幅なセキュリティ強化が iOS とともに計られていることも注意すべきである。今まで通っていた勝手証明書（おれおれ証明書）などが、通らなくなる ATS は iOS においても、MacOSX においてもデフォルトで ON の状態になっている。証明書を使った基幹システムへのアクセスができないなどの問題がある場合は、iOS ともども ATS の影響を疑った方が良いだろう。
ATS が要求する新たな仕様は以下のようなものである。

• TLS バージョン 1.2 が必須（HTTP/2 対応サーバー）
  
• 接続暗号方式は forward secrecy 対応のものに限られる
• 証明書は、2048ビット以上のRSA鍵とSHA256 のハッシュアルゴリズム署名が必要、または、楕円曲線暗号（ECC)方式であれば256ビット以上の鍵が必要となる
• 無効な証明書での接続はできなくなる

つまり今までの SHA-1 方式の署名を使った証明書は使えなくなるということですが、SHA-1 問題は 2005年には攻撃法が顕在化してから、米国では既に SHA-2 スタンダードにすることが推奨されており、Microsoft や Google 各社も SHA-1 証明書の移行に関するポリシーを表明してきていることなので、それほど驚くことではないのかもしれないが、このタイミングで企業は証明書移行ポリシーについてきちんと取り組むべきであろう。

もう１つ。重要なアップデートが。Apple Configurator 2 の公開である。今までの Apple Configurator から大幅なエンタープライズ管理ツールに進化した Apple Configurator 2 が MacOSX EL Capitan から利用可能になったことである。これについては、また別な記事で詳細を記載していく予定である。

100以上のアプリが感染していると推定され、遂に Apple 社も公式にその存在を認めることとなった、XCodeGhost マルウエア。これを見ると、Apple の iOS 安全神話も遂に終わったかと目の前が真っ暗になった方も多いかもしれない。

XcodeGhost はそもそも何者なのか？何故突然 100 以上ものアプリが感染しているという話しになったのか？それは、中国のネットワーク事情の問題で国外のサイトから 3G を超えるサイズのファイルのダウンロードするととんでもなく時間がかかることの対策として、iOS 開発ツールである XCode を国内のサーバーに置いて使おうよという雄志が実はとんでもないハッカーだったことから起きた。

実は iCloud のアカウントが 22万件流出したとされる KeyRaider と同じ種類なのではないかとも言われている。これは JailBreak （脱獄）した iOS デバイスを狙ったバックドア付きのマルウエアアプリなのだが、今回問題となっているアプリはどれもこれもまともなアプリが多いという差はあれ、情報が送られているサーバーは同じだった。

感染したアプリをあげると、有名な WeChat や、雑誌やホワイトボードなどをパッと撮影して台形補正してブック形式に保存できる CamScanner や名刺管理の CamCard 、WinZip や、PDF Reader 、かの有名なゲームタイトル Angry Birds や CANDY SODA などなど、え、それ私使ってますけど？という有名なアプリも数多く含まれていて、混乱は広がるばかりである。

今回の悩ましいポイントは作者側には悪意がなく、使った開発ツールのライブラリが改ざんされていたことによって、公開したアプリにマルウエアが仕込まれてしまったということにある。

問題はここだ。iOS アプリはサンドボックスという仕組みによって、アプリから他のアプリの内容を書き換えたり、システムの一部を書き換えるようなことは出来ない。脱獄しているとここが緩くなるため、システムの一部を書き換えられて特定動作する機能は全てバックドアとして情報を引っこ抜かれるような恐れが出るが、脱獄していない iOS で Xcode Ghost には何ができるのだろうか？

• 動作しているアプリケーションの情報と、取得可能なシステムの情報が任意のサーバーに送信される。
• 例えば突然 iOS のシステムが iCloud のパスワードを聞いてくるダイアログを表示したりする、ユーザーは何の疑問も抱かずにパスワードを入力するだろう。それはサーバーに送信されてしまう。そういえば、最近なんか突然 iCloud パスワード再入力求められたなという方は、iCloud のパスワードを変更した方が良いかもしれない。
• クリップボードの情報を読み取ったり、クリップボードに情報を書き込んだりする。得に Ever note などのメモアプリでパスワード管理している方は、コピーすることが多いだろう。コピーしたパスワードはサーバーに送信された可能性がある。
• URL スキーマーを悪用して他のアプリケーションを介した情報送信など行う。例えばメールに記載された URL や、個人情報などを他アプリを経由して送信される恐れがある。
  

ここに公開されている感染アプリリストを見ると、中国での出来事なのでやはり中国語タイトルが多いのは事実だが、中国発でも CamScanner や CamCard など有名なアプリも多く存在している。CamScanner などは既に XCodeGhost 問題に対策したリビルドバージョンをアップデート公開しているので、アップデート内容を確認してアップデートするとともに、ここに含まれていて暫くアップデートがないようなアプリは念のためアプリを削除しておくほうが良いだろう。

最終的にはこの XCodeGhost でどのくらいのアプリが作られているのかまだ実態が把握出来ていない。そのため今後もリストは増える可能性があることに留意して、暫くこの問題は注視することにしたい。一応 Apple 社も公式にこの件を認め、既に不正なアプリは AppStore からも削除していることから、これ以上問題が大きくなることもなさそうだが、突然の パスワード入力などは十分に気をつけていただきたい。

少なくとも以下のことは心配しなくて良いので言っておきたい事と対策は以下の通り。

• もし突然 iCloud のパスワードを聞かれるダイアログが表示されたら一端キャンセルして現在利用中のアプリを全て終了させた上で設定アイコンの iCloud からパスワードの再入力を必要があれば行う。
  
• 感染しているアプリから他のアプリに感染する恐れはない
  
• システムが書き換えられてどんな安全なアプリからの情報も盗まれてしまうような恐れもない
• 感染したアプリが勝手に動き出すようなことはない（自分が起動しない限り）
• （対策）感染したアプリは一端別なフォルダーに移して利用しないか削除しておく
• （対策）感染していると判明したアプリはアップデート対策されるのを待つ（作者に悪意は無いので気付いたアプリはどんどん修正されています）
• （対策）アプリは利用し終わったらホームボタンを２回押しで、タスクリストを表示してどんどんメモリーから解放しておくべし！（これ重要）
  
• （対策）もし iCloud のパスワードこの前入れさせられたなー？という方は、iCloud のパスワード変更をしておく。
  

何にしてもAppleも既に対策は講じている状況なので、いたずらに騒がずに上記のことを守ってお使いいただければ安全性は担保される筈である。

4月24日に発売が開始される Apple Watch にあわせて、iOS 8.2がリリースされた。（開発者向けには既に 8.3 βも用意されている）毎度毎度悩ましいのは、 iOS のアップデートを当てるべきかどうか？という問題である。

エンタープライズの世界では、多くの iOS デバイスが広い範囲で利用されており、これらを統合的にアップデート管理ができないことから、毎度毎度 iOS がアップデートされる度に持ち上がるのは「アップデートすべきなのか？」という問いなのだ。

実際には MDM ベンダーからのサポート状況などを勘案する必要が最低限はあるにせよ、今回の iOS 8.2 はなべくなら当てた方が良いと判断するに足る、バグ修正や、セキュリティアップデートが多く含まれている。

1. CoreTelephony 問題
   リモート攻撃者が予期せぬリスタートを発生できてしまう可能性（SMSでの Nullポインタ参照脆弱性）
   CVE-2015-1063 : Roman Digerberg, Sweden
2. iCloud Keychain 問題
   特権的ネットワークにある場合に任意のコードが実行されてしまう問題（バッファーオーバーフロー脆弱性）
   CVE-2015-1065 : Andrey Belenko of NowSecure
3. IOSurface 問題
   悪意のある app が任意のコードを実行できる可能性（変数の型オーバーフロー脆弱性）
   CVE-2015-1061 : Ian Beer of Google Project Zero
4. MobileStorageMounter 問題
   悪意のある app が信頼されたシステムエリアにフォルダーを作成できてしまう可能性（削除中のディスクマウント脆弱性）
   CVE-2015-1062 : TaiG Jailbreak Team
5. Secure Transport 問題
   SSL/TLS 通信を第三者に傍受されてしまう可能性（TLS/SSLプロトコルに1990年代米暗号輸出規制に起因する脆弱性。FREAK問題として有名）
   CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, and Jean Karim Zinzindohoue of Prosecco at Inria Paris
6. Springboard 問題
   iOS のホーム画面を司る MacOSX の Finder に相当する Springboard がアクティブではないときに表示されてしまう問題（非アクティブなデバイス操作の脆弱性）
   CVE-2015-1064

5. の FREAK 問題は Safari やその他のブラウザでの SSL 通信やメール通信が傍受されてしまう危険性があるわけで、512ビット暗号鍵は現在では7時間程度で復号化ができてしまうということであるから、やはり iOS 8.2 は当てておいた方が安心だという結論だ。また、3. や 4. は Apple TV や MacOSX にも共通するセキュリティ問題であるから、同様に対象デバイスの OS もアップデートされることをお勧めする。

今回のアップデートは 8.1.3 にアップデートしている方なら、そんなに時間がかからずに容量も多くを要求されずに完了する筈である。その他、 Apple Watch への対応や、Health Kit のアップデート、さらにはメール、カレンダーを含む多くのバグが修正されている。なので、「当てるべきですか？」と聞かれたら、「MDMベンダーに確認の上、なるべく早く当てた方が良いですよ」というのが私の回答である。