iPhoneで大規模攻撃はあり得るか

iPhoneに攻撃を仕掛けるとすれば、どんな方法があるのか。Symantecが検証結果を公開した。

» 2007年07月11日 08時55分 公開
[ITmedia]

 iPhoneにセキュリティ攻撃を仕掛ける方法はあるのか――。iPhoneが攻撃を受ける可能性について、セキュリティ企業のSymantecが入手した端末を使って検証、7月10日のブログで結果を報告した。

 それによると、iPhoneでは平均的なユーザーがデフォルトの状態でコードを実行することはできない。コードを実行できなければ悪質コード実行もできないため、ほかのモバイルプラットフォームやWindowsなどのデスクトップOSに比べればリスクは少なくなる。

 さらに、通話などのサービスを活用したAjax/Web 2.0アプリケーションは通常、動作する前にユーザーに告知するため、自動ダイヤルやSMSワームなどは防止することが可能だ。

 こうした要因により、攻撃の可能性は大幅に限定されるとSymantecは分析する。それでも、iPhone上でコードを実行する方法は幾つかあるという。

 1つは無許可のコード実行が可能になる脆弱性を利用する方法。未確認ながらiPhoneソフトの複数の脆弱性がすでに報告されているという。そのうち幾つかは、Mac上で見つかりながらまだ修正されていない既知の脆弱性で、Safariの脆弱性もこれに含まれる。

 ただ、脆弱性が見つかってゼロデイエクスプロイトが公開されたとしても、感染が拡大する可能性は低く、過去にWindowsで発生したような大規模な脅威にはならないとSymantecはみる。

 その理由として、Windowsデスクトップに比べればiPhoneの数がまだはるかに少ないこと、およびiTunes経由の同期とアップデートでパッチが適用されるため、感染拡大が食い止められることを挙げている。

 もう1つの感染経路として考えられるのが、iPhoneに手を加えてサードパーティアプリケーションを実行できるようにした場合だ。この場合は悪質コードの実行も可能になるが、脆弱性の影響を受けるのは特定の修正を加えたiPhoneのみ。こうした問題はソニーのPlaystation Portable(PSP)でも起きているという。

 今回の分析結果を踏まえ、iPhoneは100%セキュアだとはいえないが、現在の状態でマルウェア感染のための格好の土壌にはならないとSymantecは結論付けている。現時点ではむしろ、偽のiPhone広告をポップアップ表示してクレジットカード情報などを盗み出そうとするトロイの木馬「Pandex」や、iPhoneをおとりにして悪質ページにユーザーを誘導するスパムメールに注意すべきだという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ