iPhoneもハッキングされる可能性がある
iPhoneの脆弱性が悪用されていた?
9月10日(現地時間)、「iPhone 11」「iPhone 11 Pro」「iPhone 11 Pro Max」が発表された。1年ぶりの新機種ということもあり、さまざまなメディアで話題を目にしていることだろう。だが、大きな注目を集めるiPhoneともなれば、攻撃の対象になる可能性は決して低くないと考えることもできる。
グーグルの研究者グループ「Project Zero」は8月29日(現地時間)、何者かが過去2年間に渡り、複数のiPhoneの脆弱性を悪用していたことを発見、アップルに報告していたことを公表した。
具体的には、攻撃者が複数の侵害されたWebサイトを操作し、少なくとも1つ以上のゼロデイ脆弱性と、多数の独自のエクスプロイトチェーン、および既知の脆弱性を使用して、最新バージョンのOSも含むiPhoneを2年以上にわたって侵害していたという。つまり、グーグルによれば、iPhoneがハッキングされていたことになる。
一方、この問題に関しては、アップルもステートメントを発表している(iOSのセキュリティに関するメッセージ - Apple (日本))。
アップル側は、指摘された高度な攻撃は対象が限られており、グーグルが言うような「全体的な」iPhoneへの広範囲な悪用ではないと主張。iOSのパッチがリリースされてから6ヵ月を過ぎてからのものであり、大規模な悪用が「リアルタイムにすべてのユーザのプライベートなアクティビティを監視する」という間違った印象を与えたほか、ウェブサイトへの攻撃が行なわれたのはおよそ2ヵ月だけであるという。
アップルは「世界中にいる私たちのセキュリティチームは、脆弱性が見つかるとすぐに新しい保護機能を加え、部分修正を行なうということを常に繰り返しています」としている。
アップデートはめんどうくさがらず早めにやるべし
スマートフォン本体のセキュリティの「穴」や、多くの人が利用するアプリの脆弱性などは、世界中で破る方法が探されている。世界的に人気を博し、ユーザー数も多いiPhoneともなれば、サイバー犯罪者にとってはターゲットにしたい存在だ。新製品、あるいは新しい機能がリリースされば、多くの人が脆弱性を探し始める。
といっても、悪意を持った人間が不正行為をしたいからだけではなく、犯罪を未然に防ぐため、セキュリティベンダーがチェックしている場合もある。さらに、端末やアプリを提供するメーカーは、問題があれば早急に反応するものだ。脆弱性が見つかれば、今回の件のように、研究者はメーカーに報告し、メーカーはOSやアプリをアップデートして対応する。
つまり、ユーザーは自分の使用している端末の情報をチェックし、すばやくアップデートすることが大切。これだけでも、脆弱性を突いた攻撃を防ぎやすくなる。セキュリティソフトウェアをインストールすることも基本だが、あわせて、スマートフォンの紛失・盗難対策用の設定をしておけば、なお安心だ。
脆弱性への対策をおこたると、サイバー攻撃者に乗っ取られたり、気づかないうちにウイルスに感染させられたりしてしまう可能性もある。買ったら使うだけではなく、定期的なアップデートが必要だと理解することが重要。これはiPhoneに限らず、Androidユーザーにも同じことがいえるだろう。
多くの人が注目している端末だからこそ、セキュリティには気をつけるべし。今回はMcAfee Blogから「iPhoneユーザーが知っておくべきiOSハッキングについて」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
iPhoneユーザーが知っておくべきiOSハッキングについて:McAfee Blog
iPhoneのハッキングは、まれにしか発生しないと考えられているかもしれません。しかし、Googleの研究者グループ「Project Zero」は8月29日(現地時間)、何者かが過去2年間に渡り、複数のiPhoneの脆弱性を悪用していたことを発見し、米Appleに報告していたことを公表しました。
このエクスプロイトキャンペーンがどのように機能していたかというと、WIREDによると研究者は5つのエクスプロイトチェーンを集めたWebサイトを明らかにしました。これらのエクスプロイトチェーンは、セキュリティの脆弱性を結び付け、ハッカーがiOSのデジタル保護の各レイヤーに侵入できるようにするツールです。このキャンペーンは14のセキュリティ上の欠陥を利用して、攻撃者がユーザーのスマートフォンを完全に制御できるようにしました。研究者は、これらの悪意のあるサイトは、それらをロードしたAppleデバイスを評価し、可能であれば強力な監視マルウェアでデバイスを侵害するようにプログラムされたと述べています。マルウェアがインストールされると、リアルタイムの位置情報を監視し、写真、連絡先、パスワード、またはiOSキーチェーンから他の機密情報を取得できます。
この攻撃は、暗号化なしで情報がアップロードされているため、アクティビティが一目瞭然という、独特なものでした。ユーザーがネットワークトラフィックを監視すれば、ハッカーのサーバーにデータがアップロードされていることがわかるため、アクティビティに気付くでしょう。さらに、ユーザーは、デバイスをコンピューターに接続し、コンソールログを確認した場合、疑わしいアクティビティを確認することが可能です。コンソールログには、デバイスで実行されているプログラムのコードが表示されます。ただし、この方法では、ユーザーがiPhoneをコンピューターに接続するという追加の手順を実行する必要があるため、不審なアクティビティに気付くことはほとんどないでしょう。
通常、iOSのエクスプロイトを成功させるにはさまざまな複雑さが必要とされますが、このキャンペーンは、iOSハッキングが非常に活発で強力であることを証明しています。
それでは、この種の攻撃を防ぐためにAppleユーザーは何ができるでしょうか? デバイスを安全に保つ方法としては、OSの更新を自動で行われるよう設定することが第一です。デバイス設定で、ソフトウェアアップデートの”自動アップデート”をオンにしましょう。これにより、これらのエクスプロイトチェーンで利用されている脆弱性などへの対応がされ次第、最新のセキュリティパッチが反映されるので安心です。
