AppleのメッセージアプリiMessage(日本語版では「メッセージ」と表示)に、セキュリティ上の重大な脆弱性があったことがわかりました。Appleが本日9月14日にリリースした各最新OSではその脆弱性が修正されているため、全ユーザーはできるだけ早く最新OSへとアップデートする必要があります。
クリックしなくても感染
iMessageの脆弱性を発見したのはカナダ・トロント大学の研究チームCitizen Labです。同チームが公開した報告書によると、この脆弱性を突いたゼロクリック攻撃がイスラエル企業NSO Groupの開発したスパイウェア「Pegasus」によって実行可能であり、攻撃を受けると盗聴などの被害を受ける可能性があります。
ゼロクリック攻撃とは、特定のURLなどをクリックしなくても、マルウェアなどに感染してしまうことを指します。Citizen Labによると、iMessageの脆弱性により、iPhoneやiPad、Mac、Apple WatchなどでiMessageのメッセージを開き、画像を表示するだけでPegasusに感染、Appleデバイスが乗っ取られる危険性があるとのことです。
Pegasusの存在が初めて確認されたのは2016年のことです。2019年にはメッセージアプリWhatsAppの脆弱性を突き、1,400人以上のスマートフォンに対し攻撃が行われたことがわかっています。またNSO Groupは同年、PegasusでiCloudのデータを取得できるとの声明を発表していました。
最新OSで脆弱性が修正、今すぐアップデートを
AppleはCitizen Labからの報告を受け、脆弱性を修正したiOS14.8、iPadOS14.8、watchOS7.6.2、macOS 11.6をリリースしています。全ユーザーにアップデートが推奨されています。
Source:Citizen Lab
(lunatic)