ここから本文です

ワンクリでユーザーの秘密を暴けるiOSの脆弱性、半数がいまも危険に

ITmedia エンタープライズ 9月7日(水)18時20分配信

 米Appleは8月25日にiOSの最新版「iOS 9.3.5」をリリースして、深刻な脆弱性を解決した。脆弱性を報告したセキュリティ企業のLookoutによると、9月7日時点でアップデート済みのユーザーは50%程度(Mixpanel調査)にとどまり、いまも危険な状態だと指摘している。

【その他の画像:攻撃イメージ】

 iOS 9.3.5では、OSカーネルとSafariブラウザに存在する計3件の脆弱性が修正された。これらの脆弱性が攻撃者によって悪用された場合、ユーザーが気付かないまま端末のセキュリティ制限などが解除される「脱獄(Jailbreak)」の状態にされてしまう。攻撃者は遠隔からJailbreak状態の端末を不正に操作し、ユーザーのさまざまな情報を盗み取ったり、別の攻撃を仕掛けたりできるようになる。

 脆弱性の発覚は、アラブ首長国連邦(UAE)の人権活動家アフメド・マンソール氏にSMSが送りつけられたことがきっかけだった。SMSには、服役中の人間に対する人権侵害を密告するとしたメッセージと短縮URLが記載されていたという。SMSに不審さを感じたマンソール氏がカナダ・トロント大学のセキュリティ研究機関「Citizen Lab」に調査を依頼し、トロント大学と協力関係にあるLookoutが共同調査に乗り出したという。

 Lookoutの解析では、SMSのURLをタップすると、まずSafariブラウザに存在するメモリ破損の脆弱性が突かれ、iOSカーネルに存在するメモリ破損の脆弱性を突くためのJavaScriptがダウンロード実行される。これによってiOSがJailbreakされた状態になり、遠隔操作機能やスパイ機能などを持つ攻撃ツールの「Pegasus」がインストールされる。

 Lookoutの調査によれば、PegasusはイスラエルのNSO Groupが開発・販売を手掛け、主に政府の諜報機関が購入しているとみられる。iOS以外にAndroidやBlackBerryにも攻撃可能で、300ライセンスあたり800万ドルで販売されているという。iOS標準の機能やコミュニケーション系の多数のアプリの内容を搾取できることも判明した。

(Pegasusが搾取する情報)
iOS標準機能
・通話
・通話履歴
・メール
・SMS/MMS
・FaceTime
・カレンダー
・位置情報
・Keychainパスワード
・その他あり

アプリ
・Gmail
・Facebook
・LINE
・Skype
・Viber
・Kakao Talk
・Whatsapp
・その他あり

 Lookout日本法人 エンジニアの石谷匡弘氏は、「脆弱性自体は要人に対する標的型攻撃で発覚したものの、既に脆弱性の内容や攻撃手法が知れ渡ったことから、無差別攻撃に悪用される恐れがある。ユーザーのプライベートな情報やビジネスでの情報などが攻撃者に筒抜けになり、攻撃者は入手した情報を暴露してユーザーをはずかしめたり、ストーカー行為をしたりしかねない」と警鐘を鳴らす。

 LookoutはJailbreakとPegasusの感染を調べるアプリをApp Storeで提供している。石谷氏によれば、アプリを使ったユーザーなどから数件の感染報告が同社に寄せられており、さらに詳しい調査を続けているという。

 攻撃を防ぐ対策は、iOS 9.3.5へのアップデートになる。しかしこれらの脆弱性やPegasusを使った攻撃は、少なくとも数年前から世界各地で密かに実行されていたとみられ、石谷氏は感染に気がつかないユーザーが一定数存在するとみている。感染したPegasusをiOS端末から駆除することは非常に困難で、端末をファクトリーリセットするしか解決がない。

 石谷氏は、「今回の攻撃はiOSを狙った史上初とも言える高度な脅威。もし感染が分かった場合はLookoutに連絡していただき、できれば調査に協力してほしい」と呼び掛けている。

 なお、iOSで見つかった脆弱性はOS Xにも存在し、Appleは9月1日付でYosemiteとEl Capitan向けのセキュリティアップデートをリリースした。情報処理推進機構(IPA)も緊急情報としてユーザーにアップデートの適用を呼び掛けている。

最終更新:9月7日(水)18時20分

ITmedia エンタープライズ