気づかないうちにスマホが乗っ取られる?
Facebookは5月、同社のチャットアプリ「WhatsApp」に、スマートフォンの遠隔操作が可能になる脆弱性が見つかったと発表。iOSやAndroid向けに配信されている最新版では、すでに脆弱性が修正されている(Facebook CVE-2019-3568)。
発見された不具合は、WhatsAppが通話に使用している、音声通信プロトコルのVoIPの脆弱性を突いたものだという。iOS版は「2.19.51」、Android版は「2.19.134」より前のバージョンのWhatsAppには、この脆弱性が含まれているとされている。
脆弱性を悪用することで、対象となるスマートフォンをクラッシュさせたり、遠隔操作で任意のコードを実行させたりすることが可能。不在着信だけで攻撃できた場合、通話履歴も消える場合があるという。気づかないうちに、自分のスマホが被害にあう可能性があったわけだ。
我々が使っているスマートフォンのアプリ、あるいはスマートフォンのOSそのものに脆弱性が見つかることは、決してめずらしい話ではない。どのように対策すればよいのだろうか。
スマホ本体もアプリも、アップデートがとても大事
スマートフォン本体のセキュリティの「穴」や、多くの人が利用するアプリの脆弱性などは、世界中で破る方法が探されている。悪意を持った人間が不正行為をしたいからだけではなく、犯罪を未然に防ぐため、セキュリティベンダーがチェックしている場合もある。もちろん、端末やアプリを提供するメーカーは、問題があれば早急に反応するものだ。
脆弱性が見つかれば、メーカーはOSやアプリをアップデートして対応する。つまり、ユーザーは自分の使用している機器の情報をチェックし、すばやくアップデートすることが大切なのだ。もちろん、セキュリティソフトウェアをインストールしたり、スマートフォンの紛失・盗難対策用の設定などをしたりすることも、あわせて心がける必要があるだろう。
脆弱性への対策をおこたると、気づかないうちにウイルスに感染させられたり、サイバー攻撃者に乗っ取られたりしてしまう可能性もある。買ったら使う……だけではなく、ソフトウェアには定期的なアップデートが必要だと理解することが重要だ。今回はアップデートの重要性に触れた、McAfee Blogの記事「Apple iOS 12.2で50を超えるセキュリティ脆弱性を修正」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Apple iOS 12.2で50を超えるセキュリティ脆弱性を修正:McAfee Blog
3月25日 月曜日(現地時間)に、Appleは彼らのSpecialイベントで、新しいサブスクリプションオファーを含むニュース、テレビ、ビデオゲーム、そしてクレジットカードサービスなどいくつかの大胆な発表を行ないました。また、これらのエキサイティングな発表が行なわれているのと同日に、iOS 12.2のリリースも行なわれていました。アップデートには51の異なるセキュリティーに関する修正が含まれており、iPhone 5s以降、iPad Air、さらにはtvOSを実行している製品に至るまでさまざまなデバイスに影響を及ぼします。これらのソフトウェアパッチは、サイバー犯罪者がサービス拒否、任意のファイルの上書き、悪意のあるコードの実行などの効果を得るために使用できるさまざまなバグを網羅しています。
iOS 12.2のアップデートには、連絡先、FaceTime、メール、メッセージなどのコアアプリケーションの脆弱性に対するパッチが含まれています。セキュリティー専門家Alex Stamosによると、ほとんどの脆弱性はWebkit、AppleがSafari、Mail、App Storeを含む多くの製品で使用しているブラウザエンジンに発見されています。これらの脆弱性の中には、メモリ破損のバグがあり、それが任意のコードの実行につながる可能性がありました。この種の攻撃では、悪意のある攻撃者がターゲットシステム上で任意のコマンドを実行でき、被害者のファイルを引き継ぐか、被害者のシステムをリモートから引き継ぐことが可能になります。任意のコードが実行される攻撃を防ぐために、Appleはデバイスのメモリ処理、状態、および管理を改善しました。これらのプロセスは全体的なシステム性能を最適化するためにデバイスのコンピュータメモリーを制御し調整します。
このアップデートで修正されたもう1つの問題は、サイバー犯罪者がサンドボックスの制限を回避して、不審なコードからデバイスの重要なインフラストラクチャを保護することができる点です。これに対抗するために、Appleは検証チェックの改善を行ないました。
ソフトウェアアップデートの通知を受け取ったときに[後で通知する]オプションをクリックするのは簡単ですが、iOS 12.2に含まれているセキュリティーアップデートを見逃してはいけません。iOSデバイスを保護しスムーズに動作させるために、次のヒントを参考にしてください。
iOSデバイスを安全に利用するために
ソフトウェアをアップデート
デバイスをiOS 12.2にアップデートするには、[設定]、[全般]の順に選択し、[ソフトウェアアップデート]をクリックします。そこから、アップデートをダウンロードしてインストールし、50以上のセキュリティーホールにパッチを当てることができます。
自動更新を有効に
すでに自動更新を有効にしている方は、最新のiOSに更新されているはずです。アップデートを実行しなくてもソフトウェアのバグや脆弱性によって引き起こされる脅威にさらされるのを防ぐことができますので、自動更新にすることをお勧めします。あなたの設定でも自動更新を有効にすることができます。[設定]、[全般]の順に選択し[自動アップデート]をオンにしましょう。
セキュリティーソリューションを使用
すべてのデバイスに特別な保護層を追加するには、マカフィー リブセーフなどのセキュリティーソリューションをインストールしてください。これにより、追加のセキュリティのための武器を手に入れ、デバイスをサイバー脅威から護ることができます。
※本ページの内容は、2019年3月27日(US時間)更新の以下のMcAfee Blogの内容です。
原文:iOS Users: Update Your Software to Avoid Security Vulnerabilities
著者:Gary Davis
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
