ワンクリでユーザーの秘密を暴けるiOSの脆弱性、半数がいまも危険に(2/2 ページ)
Appleが「iOS 9.3.5」で解決した脆弱性が無差別攻撃に悪用されれば、多くのユーザーのプライベートが暴かれかねないが、アップデートしたユーザーは半分程度という。
Lookout日本法人 エンジニアの石谷匡弘氏は、「脆弱性自体は要人に対する標的型攻撃で発覚したものの、既に脆弱性の内容や攻撃手法が知れ渡ったことから、無差別攻撃に悪用される恐れがある。ユーザーのプライベートな情報やビジネスでの情報などが攻撃者に筒抜けになり、攻撃者は入手した情報を暴露してユーザーをはずかしめたり、ストーカー行為をしたりしかねない」と警鐘を鳴らす。
LookoutはJailbreakとPegasusの感染を調べるアプリをApp Storeで提供している。石谷氏によれば、アプリを使ったユーザーなどから数件の感染報告が同社に寄せられており、さらに詳しい調査を続けているという。
攻撃を防ぐ対策は、iOS 9.3.5へのアップデートになる。しかしこれらの脆弱性やPegasusを使った攻撃は、少なくとも数年前から世界各地で密かに実行されていたとみられ、石谷氏は感染に気がつかないユーザーが一定数存在するとみている。感染したPegasusをiOS端末から駆除することは非常に困難で、端末をファクトリーリセットするしか解決がない。
石谷氏は、「今回の攻撃はiOSを狙った史上初とも言える高度な脅威。もし感染が分かった場合はLookoutに連絡していただき、できれば調査に協力してほしい」と呼び掛けている。
なお、iOSで見つかった脆弱性はOS Xにも存在し、Appleは9月1日付でYosemiteとEl Capitan向けのセキュリティアップデートをリリースした。情報処理推進機構(IPA)も緊急情報としてユーザーにアップデートの適用を呼び掛けている。
関連記事
- Apple、iOSの脆弱性を修正 iPhoneを遠隔で脱獄させる標的型攻撃が発覚
iOSの未知の脆弱性を突くスパイウェアが存在し、人権活動家の行動を監視する目的で使われていたことが分かった。iPhoneを遠隔で脱獄させる手口が、実際の標的型攻撃に使われた事例が確認されたのは初めて。企業に対するスパイ活動にも使われる恐れがある。 - iOS攻撃で発覚の脆弱性、OS XとSafariでも修正される
「iOS 9.3.5」で修正されたのと同じ脆弱性が、OS X YosemiteとEl Capitanでも修正された。この脆弱性を突く高度な標的型攻撃の発生が報告されていた。 - 「iOSを至急更新して」 IPAが緊急で呼び掛け
サイバー攻撃に悪用された3件の脆弱性を修正する「iOS 9.3.5」へのアップデートを急いでほしいと呼び掛けている - 米Appleが初の報奨金制度、脆弱性発見者に最大20万ドル
AppleがBlack Hatで脆弱性情報の提供者に報奨金を支払う同社初のバグバウンティプログラムを発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.