iOSにメールを受信しただけで悪用される脆弱性、日本企業を標的にした攻撃を確認

ZecOpsはiOS標準のメールアプリに2件の脆弱性を発見し、日本企業の幹部を狙った攻撃を検出した。メールを受信したユーザーが何もしなくても悪用される恐れがあると警告する。

[鈴木聖子，ITmedia]

　米国のセキュリティ企業ZecOpsは4月22日、Appleの「iOS」に2件の未解決の脆弱（ぜいじゃく）性を発見したと発表した。これはiOS標準のメールアプリに存在し、メールを受信したユーザーが何もしなくても悪用される恐れがある。同社は、攻撃者が活動を活発化させる恐れがあるとみて、情報の公開に踏み切ったと説明する。

脆弱性のサマリー（出典：ZecOps）

　ZecOpsによると、iOSのメールアプリでダウンロードしたメールを処理する方法に関連して、境界外書き込みの脆弱性とヒープオーバーフローの脆弱性が存在する。これを悪用すれば、狙った相手に細工を施したメールを送り、それを閲覧しようとした被害者のデバイスのメモリを大量に消費させることで脆弱性を誘発できるという。

　同社は、世界の大手企業や要人など少なくとも6組織を狙った攻撃を検出したと報告した。この中には「日本企業の幹部（An executive from a carrier in Japan）」も含まれる。

　脆弱性は少なくとも、2012年7月にリリースされたiOS 6から存在していたことが判明した。この脆弱性を突く攻撃は2018年1月に検出されているが、以前から脆弱性が悪用されていた可能性もある。

攻撃を受けたメールアプリの挙動はどうなるか