iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か

 
GoogleのPeoject Zeroは新たに、iOSでセキュリティ上の脆弱性が6つ発見されたと指摘しました。このうち5つはiOS12.4で対処済であるものの、1つは未だに対処されていないそうです。

未対応のバグも

GoogleのProject Zeroとは、企業が対処する前に脆弱性を利用した「ゼロデイ攻撃」が行われないよう、ソフトウェアの脆弱性を発見し該当企業に報告を行うプロジェクトです。
 
Project Zeroの研究者が今回明らかにしたのは、iMessageを利用してターゲットのiPhoneに攻撃を加えることを可能にする6つのバグです。これらの「非交流型（interactionless/zero interaction）」と呼ばれるバグのうち、6つのうち4つはiMessageに不正な形式のメッセージを送るだけで攻撃が可能なもので、7月上旬に問題となった脆弱性（iOS12.3で対処済）との関連性が指摘されています。バグを悪用することで、攻撃者はターゲットの情報を限定的ながら収集したり、iPhoneを遠隔操作したりといった行動が可能になります。
 
問題なのは、7月22日に公開されたiOS12.4で6つのうち5つには対処しているものの、残る1つについては未対応となっている点でしょう。Project Zeroはバグの詳細を公開する前に企業に通達を行うため、Appleも脆弱性は認識しているはずですが、iOS12.4で完全には対応しきれていないようです。5つについては近々開催される情報セキュリティのイベント「Black Hat」で共有されるものの、残り1つはAppleが対処するまで非公開となります。

脆弱性には高額な賞金がかけられる

今回はiOSのiMessageを悪用した攻撃に焦点が当てられていますが、SMSやMMS、通常のメールやビジュアルボイスメール（留守電メッセージの取捨選択が視覚的に可能となる仕組み）でも同様の攻撃は原理的に可能だ、とProject Zeroのナタリー・シルヴァノヴィク氏は指摘します。
 
企業が対処する前に攻撃に成功すれば、個人情報を大掛かりに抜き取ることができるため、こうした脆弱性の情報はブラックマーケットでやり取りされることもあります。価格は100万ドル（約1億円）以上が常で、1,000万ドル（約11億円）前後に相当する価値を持つことも珍しくありません。
 

 
実際、脆弱性に関する情報買い取りをハッカーから受け付けるZERODIUMのサイトを確認すると、iOS絡みで150万ドル〜200万ドル（約1億6,000万円〜約2億円）といった高額な値がつけられています。
 
 
Source:ZDNet,ZERODIUM
Photo:Apple
(kihachi)