「iMessage」を開くだけで感染するおそれ
「iPhone 13」「iPhone 13 mini」「iPhone 13 Pro」「iPhone 13 Pro Max」がいよいよ発売される。それに先がけてアップルは20日(現地時間)、iOSの最新バージョン「iOS 15」の配信を開始した。iPhone 6s以降のデバイスで適用できる。
なお、iOS 15の前に、アップルはセキュリティ問題に対処するために「iOS 14.8」をリリースしている。このアップデートでは、アップルのメッセージアプリ「iMessage」を開くだけで端末がスパイウェアに感染するという、ユーザーが操作せずとも攻撃を仕掛けられてしまうゼロクリック・エクスプロイトへの対応がなされている(Stop and update your iPhone to iOS 14.8 right now - The Verge)。
このサイバー攻撃は、アップルの画像レンダリングライブラリの脆弱性を悪用したもの。この脆弱性を使って、スマートフォンを監視するスパイウェア「Pegasus」をiPhone内に侵入させられるようになっていたという。
ソフトウェアのプログラム上の欠陥やミスなどが原因で、本来は想定されていなかった動作を引き起こしてしまう可能性はゼロにはできない。もちろん、メーカー側は、それを発見次第、対処していくものだ。バグや脆弱性による問題が発生した場合、アップデートやパッチをリリースすることが多い。
逆に言えば、古いOSを使い続けることは、場合によっては、さまざまなサイバー犯罪に対して、弱点をさらしたままになりかねない。ソフトウェアのアップデートは面倒くさがらず、こまめにやっておきたい。
自分の使用している端末の情報をチェックしておこう
世界中で話題になるもの、ユーザーが多いものは、ターゲットになりやすい。前述のゼロクリック・エクスプロイトも、人気のあるiPhoneを狙ったものだった。最新のiPhone 13シリーズ(iOS 15)はそのセキュリティ問題に対処がなされているが、いつ新しい脅威がやってくるかはわからない。
新製品や新しい機能がリリースされば、多くの人が脆弱性を探し始める。悪意を持った人間が犯罪を実行するためだけでなく、セキュリティベンダーが、犯罪を未然に防ぐためにチェックしている場合もある。いずれにしても、問題の報告があれば、メーカーはOSやアプリをアップデートして対応するだろう。
そのため、自分の使用している端末の情報をチェックしておき、何かあればすばやくアップデートすることが大切だ。スマートフォンは、毎日のように利用するだけでなく、個人情報もたくさん詰まっている点で、何よりも安全に利用することを考えなくてはいけないデバイスなのだ。
セキュリティソフトウェアをインストールするだけでなく、スマートフォンの紛失・盗難対策用の設定もしっかりしておきたい。攻撃を防ぐだけでなく、攻撃を受けたときのための対応もある。たとえば、定期的にバックアップを取っておいたり、大切なデータは外部に保存したりすることで、攻撃を受けた際の被害をある程度防ぐことは可能だ。
脆弱性への対策を怠らず、買ったら使うだけではなく、定期的なアップデートが必要だと理解することが肝心。これはAndroidユーザーにも同じことがいえる。
スマートフォンを安心して使うための学びとして、iPhoneの脆弱性が悪用されていたことが発見された事件を解説した2019年の記事、McAfee Blogから「Apple iOSへの攻撃と脅威調査の重要性」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Apple iOSへの攻撃と脅威調査の重要性:McAfee Blog
最近(8月29日 現地時間)公表されたApple iOSを標的とするエクスプロイトチェーンは、悪意のあるサイバー犯罪者がゼロデイの脆弱性を利用して、いかに検出されることなく攻撃を成功させるかについての最新の実例と言えます。
具体的には、単数または複数の攻撃者が複数の侵害されたWebサイトを操作し、少なくとも1つ以上のゼロデイ脆弱性と多数の独自のエクスプロイトチェーンおよび既知の脆弱性を使用して、最新バージョンのOSも含むiPhoneを2年以上に渡って侵害していたというものです 。この種のインフラストラクチャを運用して、検出されることもなく、何千人に達するかもしれないユーザーを危険にさらすには、相当な手腕と豊富な資金を必要とします。
サイバー犯罪という悪の広がりと戦うには正義の味方が必要ですが、このようなサイバー攻撃が実施されるようになると、脅威調査と責任ある脆弱性の開示がますます重要になってきます。サイバー犯罪者は、日々、より速く、より巧妙に、より危険になっています。研究者のグローバルコミュニティが一致団結して、この攻撃で使用されたような重大な脆弱性を特定し協力することは、この種の悪意の攻撃の排除に向けて有意義な進歩を遂げるために重要です。同様に重要なのは、攻撃があった際に防御者と開発者が将来これらの脅威を軽減できるように、その攻撃独自の特性を明らかにするための分析を行うことです。では、この攻撃について見ていきましょう。
白昼堂々と行われる攻撃
この攻撃は、インプラントを密かに実行するのではなく、暗号化もなしに情報をアップロードしていたという点で独特です。つまり、情報が平文で攻撃者のサーバーにアップロードされているため、ネットワークトラフィックを監視しているユーザーならアクティビティに気付くはずなのです。
さらに、デバッグメッセージがコードに残っているようなので、ユーザーが自分の電話をコンピューターに接続し、コンソールログを確認すれば、同様にアクティビティに気付くはずです。
ただし、iPhoneのクローズドなOSでは、ユーザーはこれらの攻撃インジケーターに気付くために、電話をコンピューターに接続するという追加的な手順を実行する必要があります。このためパワーユーザーであっても、感染に気付かない可能性があります。
iOS エクスプロイトの価値
一般的に、iOSのエクスプロイトを見つけることは、独自のコードベースや最新のセキュリティ保護措置のために困難です。ただし、ユーザーとの対話を必要とせず、完全なリモートでコードを実行するタイプのエクスプロイトは、非常にまれで効果が高く、発見が困難です。
攻撃をさらに複雑にさせているのは、多くのモバイルデバイスのエクスプロイトには、成功するために複数の脆弱性が必要で、多くの場合、ターゲットシステムで高度なリモートコードの実行には3〜4個のバグが必要です。通常はサンドボックス/コンテナなどの緩和策、コード実行の制限、およびユーザー権限の低下などが理由で一連の脆弱性が必要になります。この複雑さにより、1つまたは複数のバグが発見されたとしても、ベンダーによって「潰され」、またはパッチが適用される可能性が高く、攻撃の成功率が低下します。
Appleは責任ある情報開示については確固とした姿勢を貫いており、最近では、特定の脆弱性に対しての報奨金を最大100万ドルまで増額しました。一方で脆弱性を「再販」する脆弱性ブローカーは、iOSでのゼロインタラクションのリモートコード実行の脆弱性に対して最大300万米ドルを支払うと伝えられています。被害者からの対話を必要とせず、完全なリモートコード実行をもたらすバグの価値はそれほど価値が高いのです。AppleのOSがモバイルデバイスやPC全体で普及しているため、報奨金がこれほど高価であっても、自分の調査で知り得た脆弱性を責任ある態度で開示することより、もっと悪質な目的のために使うことをやめさせるには十分ではありません。
脆弱性開示の強み
この発見に際して浮かぶ最も重要な疑問は以下の2つです。この攻撃者はどのようにしてこんなに長い間、主に既知のエクスプロイトを使用して操作をし続けられたのか。そして結果どのようなゴールを達成できたのか(利益を得られたのか)。
これらの疑問により、私たちは脆弱性の開示の価値について改めて考えさせられます。ハードウェアおよびソフトウェアの分析と責任ある開示を通じて、悪意のある人物が悪意のある目的で利用する前に、一歩先んじてこれらの種類の脆弱性を公開することは、本当に重要なことなのです。
※本ページの内容は、2019年9月4日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Apple iOS Attack Underscores Importance of Threat Research
著者:Steve Povolny and Philippe Laulheret
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト