容量 電圧 製品一覧
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
サンフランシスコのサイバーセキュリティ企業ZecOpsが、2019年にiOSのメールアプリに2件のゼロデイ脆弱性を発見、アップルに報告したことを明らかにしました。この脆弱性は次回のiOSアップデートで修正される予定です。
ZecOpsがウェブサイトで説明しているその脆弱性は、iOS 6以降iOS 13.4.1までのテスト済みバージョンにおいてすべてに含まれているとのこと。これは実質的に稼働しているすべてのiPhoneにある問題と言えます。
この脆弱性のうち一方はリモートゼロクリックと呼ばれ、ユーザーがメールアプリを起動して受信メールを開く、リンクをタップする、何らかのファイルをダウンロードするといった操作をせずとも悪用できる類いのものです。もう一方はユーザーがメールを開く必要があるものの、メール内容が画面に表示されるよりも先に攻撃がトリガーされ、任意のコードを実行可能にするとのこと。どちらの脆弱性もユーザーが気づく間もなく悪用されてしまう可能性が高いということです。
ZecOpsのチームは2019年の夏頃から秋にかけて、顧客のiPhoneで発生した不審なクラッシュ動作を調査したところ、この未知の脆弱性を利用したハッキング被害を発見しました。しかし不思議なことに、クラッシュを引き起こしたメールはそのiPhoneからは見つけられなくなっていたとのこと。チームは、ハッカーが攻撃を実行した後にメールを削除したと考えています。また攻撃から学んだ情報ラボでこのゼロデイ攻撃を再現しそれが機能することを確認したうえで3月末にアップルに報告しました。
なお、調査の結果この脆弱性を使うハッカーがターゲットにしていた可能性があるのは「北米のフォーチュン500企業内部の個人」、「日本の携帯電話キャリア幹部」、「ドイツのVIP」、「サウジアラビアとイスラエルのセキュリティサービスプロバイダー」、「スイス企業の役員」だとされます。
にわかには信じがたい雰囲気のこの脆弱性、北米のデジタルメディアViceは再現ができなかったと述べています。またiPhoneやiPadなどアップル製品を業務利用する際に使うデバイス管理ソフトウェアを扱うJamf Softwareのセキュリティ研究者Patrick Wardle氏も、Wall Street Journalに対して「説得力はある」ものの信頼できるほどの情報ではないと評しました。
とはいえ、アップルが次回のiOSアップデートでこの問題を修正していると言うのであれば、攻撃の有無はともかく、脆弱性は実際にあったのでしょう。ViceはZecOpsの調査をレビューした独立のセキュリティ専門家は今回の報告を信頼していると伝えています。
ちなみに、このZecOpsというサイバーセキュリティ企業ですが2019年にはIoT技術やリアルタイムOS技術、自動運転技術などに長けた日本企業のJIG-SAWが出資を発表しています。
