Appleプラットフォームのセキュリティ
IPv6のセキュリティ
AppleのすべてのオペレーティングシステムはIPv6をサポートし、ユーザのプライバシー保護とネットワーキングスタックの安定性のために複数のメカニズムを実装しています。ステートレスアドレス自動構成(SLAAC)が使用される場合、ネットワーク越しのデバイスのトラッキングを防止するのと同時に、ネットワークが変更されない場合のアドレス安定性を保証することでユーザの体験を向上させるような方法で、すべてのインターフェイスのIPv6アドレスが生成されます。アドレス生成アルゴリズムはRFC 3972の時点での暗号生成アドレスに基づいています。これはインターフェイス固有の修飾子によって拡張され、同じネットワーク上の異なるインターフェイスも最終的に異なるアドレスを持つことが保証されています。また、一時アドレスは24時間の推奨有効期間で作成され、これらはデフォルトで新しい接続に使用されます。iOS 14、iPadOS 14、およびwatchOS 7で導入されたプライベートWi-Fiアドレス機能に合わせて、デバイスが接続するすべてのWi-Fiネットワークに対して一意のリンクローカルアドレスが生成されます。ネットワークのSSIDはアドレス生成のための追加要素として組み込まれます。これはRFC 7217時点でのNetwork_IDパラメータと同様です。この方法はiOS 14、iPadOS 14、およびwatchOS 7で使用されています。
Appleデバイスでは、IPv6拡張ヘッダおよびフラグメンテーションに基づく攻撃から保護するため、RFC 6980、RFC 7112、およびRFC 8021に規定された保護対策を実装しています。ほかにも対策はありますが、これらが特に阻止する攻撃は、上位層ヘッダが2番目のフラグメントでのみ見つかるため(以下を参照)、ステートレスパケットフィルタなどのセキュリティ制御があいまいになる可能性があるものです。
さらに、AppleのオペレーティングシステムのiPv6スタックの信頼性を保証するために、Appleデバイスは、IPv6関連のデータ構造にさまざまな制限(インターフェイスごとのプレフィックスの数など)を適用します。