Appleが3年間も「ペアレンタルコントロールを回避して子どもがポルノサイトなどにアクセスできるバグ」の報告を黙殺していたことが判明

AppleはiPhoneやiPadなどのデバイスで、子どもがポルノや暴力的なウェブサイトにアクセスできないようにする「ペアレンタルコントロール」を提供しています。ところが、このペアレンタルコントロールには禁止したはずのウェブサイトにアクセスできてしまうバグがあり、研究者が2021年から問題を報告し続けていたにもかかわらず、Appleは対応せず黙殺していたとウォール・ストリート・ジャーナルが報じました。
How Broken Are Apple’s Parental Controls? It Took 3 Years to Fix an X-Rated Loophole. - WSJ
https://www.wsj.com/tech/personal-tech/a-bug-allowed-kids-to-visit-x-rated-sites-apple-took-three-years-to-fix-it-17e5f65d
Apple’s Screen Time parental controls are broken, and it feels like an afterthought for the company.
The latest example? Two security researchers have been reporting a bug to Apple since 2021 that lets kids visit blocked sites.
Only after I called did Apple say it would be… pic.twitter.com/dPfPzDOYcb— Joanna Stern (@JoannaStern) June 5, 2024
iPhoneやiPadには、各アプリにどれほどの時間を費やしているのかをまとめる「スクリーンタイム機能」があり、そのうちの「コンテンツとプライバシーの制限」からペアレンタルコントロールを有効化できます。
ところが、ウィーンを拠点とするセキュリティ研究者のアンドレアス・イェーガースベルガー氏は2020年、Appleの各種OS(iOS・iPadOS・macOS)でブラウザのSafariを開いてアドレスバーに特定の文字列を入力すると、ペアレンタルコントロールで設定されたウェブサイトへのアクセス制限を回避できることを発見しました。また、デバイス管理ソフトウェアを使用して、会社内のスマートフォンやMacBookに設定されたウェブサイトのブラックリストを回避する方法もあったとのこと。
イェーガースベルガー氏は同僚のロー・アフテルベルグ氏と共に、2021年3月に「セキュリティ上の脆弱(ぜいじゃく)性」としてこの問題をAppleのセキュリティチームに報告しました。Appleは自社製品の脆弱性報告に対して報奨金を支払う「Apple Security Bounty」というプログラムを展開しており、イェーガースベルガー氏らもこのプログラムに応募したそうです。
しかし翌日、Appleはこの問題はセキュリティ上の脆弱性ではないと主張し、フィードバックツールを介してレポートを提出するようにイェーガースベルガー氏らへ伝えました。これに従って2人はフィートバックツール経由でレポートを提出しましたが、Appleからの反応はなく、問題が修正される兆候もなかったとのこと。
そこでイェーガースベルガー氏らは2021年8月に再び問題を報告しましたが、Appleのセキュリティチームは「実際のセキュリティへの影響は見当たりません」と述べ、フィードバックツール経由の報告にも反応しませんでした。アフテルベルグ氏は、「Appleは問題の意味合いや重大さを何も理解せずに拒絶しました。これは悔しい出来事でした」と述べています。

イェーガースベルガー氏らはこの脆弱性が他の人々に見つかり、TikTokやYouTubeで「ペアレンタルコントロールを回避する方法」として拡散されることを恐れていました。子どもやその家族にとって危険であるだけでなく、同様の方法で従業員に貸与されたデバイスでウェブフィルターを回避できることを考慮すると、企業への悪意ある攻撃の入り口にもなりかねないためです。
しかし、イェーガースベルガー氏らは3年間にわたって何度も脆弱性についてのレポートを提出し、内容の修正も繰り返していたにもかかわらず、Appleのセキュリティ部門は脆弱性に対応する様子を見せませんでした。そのため、2人はウォール・ストリート・ジャーナルの記者であるジョアンナ・スターン氏に連絡を取りました。
スターン氏は実際に、iOS/iPadOS 15・16・17を実行するiPhoneとiPadでペアレンタルコントロールを有効にし、成人向けウェブサイトへのアクセスを制限した上でイェーガースベルガー氏らが発見した方法を試したとのこと。
その結果、確かに成人向けウェブサイトへのアクセス制限が有効になっているにもかかわらず、ポルノサイトにアクセスしたり、YouTubeで暴力的で生々しい映像を見たり、Googleで「コカインの購入方法」を説明したウェブサイトを閲覧したりできました。また、MacBook ProのSafariでも同様の回避策が有効だったとのこと。スターン氏は、「私がする必要があったのは、文字列(悪用されないようにここでは書きません)とウェブアドレスを入力することだけでした」と述べています。
スターン氏がAppleに問い合わせたところ、広報担当者は「開発者向けの基礎的なウェブテクノロジープロトコルに、Webコンテンツの制限を回避することを可能にする問題があると認識しています。次回のソフトウェアアップデートで修正する予定です」と述べ、イェーガースベルガー氏らの時とはまったく違う対応を見せました。さらに、「私たちはスクリーンタイムに関する問題の報告を非常に真剣に受け止めており、ユーザーが最高のエクスペリエンスを得られるように一貫して改善を行ってきました」と主張したとのことです。
問題が存在することは認めつつも、広報担当者はこの現象がセキュリティ上の脆弱性であるという点は否定し、あくまで「ソフトウェアの問題」だと主張しています。広報担当者は、バグ報告報奨金の対象となるのは、攻撃者がユーザーデータにアクセスしたりデバイスをコントロールしたりする可能性がある「セキュリティホール」のみであり、今回の問題はセキュリティホールには当たらないとスターン氏に説明しました。

Appleのペアレンタルコントロールには以前から、「ファミリー共有を介して設定していた使用時間の制限が勝手に解除されてしまう」というバグの存在が指摘されています。
Appleが親の課した時間制限を超えて子どもがアプリやゲームを使用できるようになるスクリーンタイムのバグを認めたものの修正は難航か - GIGAZINE

また、スターン氏によると「スクリーンタイムの使用状況グラフが正しい時間を表示しない」「アプリの使用時間延長や新規ダウンロードの承認を求める通知が届かない」「一度ダウンロードした後で削除したアプリは許可なく再ダウンロードできてしまう」といった問題も報告されているとのこと。Appleはスターン氏が報告した問題のうち複数を、iOS 17.5では修正したそうです。
スターン氏は、「Appleの最も若いユーザーを保護するためのシステムは、まるで思いつきのように感じられます」と述べ、Appleに対してスクリーンタイムやペアレンタルコントロールの修正を求めました。