iPhoneのメールアプリにゼロデイ脆弱性?「iOS 6以降すべてのiOSに存在」と報告

日本の携帯キャリア幹部もターゲットだったとか

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2020年04月23日, 午前 07:50 in Security
0シェア
Jaap Arriens/NurPhoto via Getty Images

サンフランシスコのサイバーセキュリティ企業ZecOpsが、2019年にiOSのメールアプリに2件のゼロデイ脆弱性を発見、アップルに報告したことを明らかにしました。この脆弱性は次回のiOSアップデートで修正される予定です。ZecOpsがウェブサイトで説明しているその脆弱性は、iOS 6以降iOS 13.4.1までのテスト済みバージョンにおいてすべてに含まれているとのこと。これは実質的に稼働しているすべてのiPhoneにある問題と言えます。

この脆弱性のうち一方はリモートゼロクリックと呼ばれ、ユーザーがメールアプリを起動して受信メールを開く、リンクをタップする、何らかのファイルをダウンロードするといった操作をせずとも悪用できる類いのものです。もう一方はユーザーがメールを開く必要があるものの、メール内容が画面に表示されるよりも先に攻撃がトリガーされ、任意のコードを実行可能にするとのこと。どちらの脆弱性もユーザーが気づく間もなく悪用されてしまう可能性が高いということです。

ZecOpsのチームは2019年の夏頃から秋にかけて、顧客のiPhoneで発生した不審なクラッシュ動作を調査したところ、この未知の脆弱性を利用したハッキング被害を発見しました。しかし不思議なことに、クラッシュを引き起こしたメールはそのiPhoneからは見つけられなくなっていたとのこと。チームは、ハッカーが攻撃を実行した後にメールを削除したと考えています。また攻撃から学んだ情報ラボでこのゼロデイ攻撃を再現しそれが機能することを確認したうえで3月末にアップルに報告しました。

なお、調査の結果この脆弱性を使うハッカーがターゲットにしていた可能性があるのは「北米のフォーチュン500企業内部の個人」、「日本の携帯電話キャリア幹部」、「ドイツのVIP」、「サウジアラビアとイスラエルのセキュリティサービスプロバイダー」、「スイス企業の役員」だとされます。

にわかには信じがたい雰囲気のこの脆弱性、北米のデジタルメディアViceは再現ができなかったと述べています。またiPhoneやiPadなどアップル製品を業務利用する際に使うデバイス管理ソフトウェアを扱うJamf Softwareのセキュリティ研究者Patrick Wardle氏も、Wall Street Journalに対して「説得力はある」ものの信頼できるほどの情報ではないと評しました。

とはいえ、アップルが次回のiOSアップデートでこの問題を修正していると言うのであれば、攻撃の有無はともかく、脆弱性は実際にあったのでしょう。ViceはZecOpsの調査をレビューした独立のセキュリティ専門家は今回の報告を信頼していると伝えています。

ちなみに、このZecOpsというサイバーセキュリティ企業ですが2019年にはIoT技術やリアルタイムOS技術、自動運転技術などに長けた日本企業のJIG-SAWが出資を発表しています。


※4月24日追記
 アップルはこの脆弱性に関する問い合わせに対し「報告を徹底的に調べ、3つの問題を特定したものの、それだけではiPhoneやiPadのセキュリティ保護を迂回するには不十分」であり「ユーザーに差し迫ったリスクをもたらすものではない」とコメント。脆弱性を悪用された証拠はないとしています。ただし、特定した問題に関しては近日中にソフトウェアのアップデートで対処するとのこと。アップルは「セキュリティ研究者との協力関係を重視しており、研究者には謝意を表する予定」だとしました。


TechCrunch 注目記事「新型コロナのソーシャルディスタンス(社会的距離戦略)を強力に支援するビデオチャットアプリ8選

関連キーワード: Apple, Email, exploit, gear, iOS, ipad, iPadOS, iphone, mail, Malware, news, Security, vulnerability, ZecOps
0シェア