　iPhoneなどiOSデバイスのメール機能に発覚したゼロデイの脆弱性。この問題を公表したセキュリティ企業によれば、ユーザーが何も操作しなくても悪用される恐れがあり、日本企業の幹部を含む各国の要人が狙われた疑いがある。報告を受けてAppleは、脆弱性があることを確認して対応に乗り出したものの、ユーザーが差し迫った危険にさらされるような問題ではないと反論した。

　今回の脆弱性は、米国の新興セキュリティ企業ZecOpsが発見して公式ブログで詳細を公表した。同社によると、脆弱性を悪用すれば、狙った相手に不正なメールを送り付けて大量のメモリを消費させ、悪意のあるコードを外部から実行できてしまう。攻撃を受ければメールが流出したり、改ざん・削除される恐れもある。

ZecOpsのブログ

　確認された脆弱性は2件あり、いずれも実際の攻撃に利用されているとZecOpsは報告する。2018年1月にさかのぼって不審な挙動が検出されたため、詳しく調べた結果、「標的型攻撃に広く悪用されていることを確信した」としている。

　標的にされた疑いがあるのは、「北米のFortune 500組織に所属する個人」「日本のキャリアの幹部」「ドイツのVIP」など、6組織や個人。一連の攻撃には、高度な攻撃を執拗に仕掛けるATP集団が絡んでいるとされ、国家の関与もうかがわれるとZecOpsは推測する。特定の国家が、この脆弱性を突くコンセプト実証コードを第三者から購入して利用した痕跡もあるという。

　攻撃に使われたメールは被害者のiOSデバイスで受信され、処理されたことがデータで確認された。ところがメールサーバに保存されているはずのメールが見つからないことから、攻撃者が痕跡を隠すために削除した可能性がある。

　脆弱性は2件とも、システムコールの不適切な処理に起因する。iOS 13ではユーザーが何もしなくても攻撃にさらされるが、動作が一時的に遅くなるだけで、ユーザーはほとんど異常に気付かない。一方、iOS 12で攻撃を成功させるためにはユーザーにメールをクリックさせる必要があり、メールアプリはクラッシュする。攻撃が失敗した場合は「This message has no content」というメッセージが表示される。

　影響が確認されたのは、2012年にリリースされたiOS 6（iPhone 5時代）からiOS 13.4.1までの全バージョン。いずれの脆弱性も、macOSには存在しない。攻撃は2018年1月にさかのぼって検出されているが、それ以前からこの脆弱性が悪用されていた可能性もあるという。

　Bloombergによると、この報告を受けてAppleは、脆弱性の存在を確認し、対応を急いでいることを明らかにした。ただし、「徹底調査した結果、ユーザーが差し迫った危険にさらされることはないとの結論に達した」とコメントしている。

　脆弱性の悪用については、「メールにおいて3件の問題が特定されたが、それだけでiPhoneやiPadのセキュリティ対策をかわすことはできず、それが顧客に対して使われたという証拠は見つからなかった」とした。