iOSを狙う新たなサイバー攻撃「Operation Triangulation」、未知のハードウェア機能を悪用：セキュリティニュースアラート

Kaspersky LabはiPhoneを標的とした「Operation Triangulation」というサイバー攻撃について情報を公開した。この攻撃はiOS 16.2までを対象としており、未知のハードウェア機能を使っている点が注目される。

[後藤大地，有限会社オングス]

　Kaspersky Labは2023年12月27日（現地時間）、「Operation Triangulation」（三角測量作戦）と呼ばれる「iPhone」などを標的としたサイバー攻撃に関する情報を公開した。

Operation Triangulation: The last（hardware） mystery｜Securelist（出典：Kaspersky LabのWebサイト）

iPhoneを標的にした最も洗練されたサイバー攻撃「Triangulation」とは

　同社はこのサイバー攻撃チェーンのリバースエンジニアリングをほぼ完了しており、2024年にはそれぞれの脆弱（ぜいじゃく）性と悪用方法を説明するより詳細な記事を公開するとしている。

　このサイバー攻撃は4つのゼロデイ脆弱性を悪用したゼロクリックの「iMessage」攻撃で「iOS 16.2」までの「iOS」で動作する。

　サイバー攻撃の内容は以下の通りだ。

• 細工したiMessage添付ファイルを送信することで攻撃を開始する。アプリはユーザーに通知することなく処理を実施する
• 添付ファイル経由で実施されるリモートコード実行（RCE）には「CVE-2023-41990」が使われている。これは文書化されていないADJUST TrueTypeフォント命令を悪用するというもので、1990年代初頭から存在していたものと考えられている
• JavaScriptの特権昇格脆弱性を悪用する
• XNUのメモリマッピングコール（mach_make_memory_entryおよびvm_map）に存在する整数オーバーフローの脆弱性「CVE-2023-32434」を利用し、ユーザーレベルでデバイスの物理メモリ全体への読み書きアクセスを取得する
• ハードウェアメモリマップドI/O（MMIO）レジスタを使ってページ保護レイヤー（PPL）をバイパスする
• 最終的にroot権限を取得してマルウェアを読み込んで次のステップに進む

　報告されている内容で特に注目されるのは、このサイバー攻撃を実行した脅威アクターが、ファームウェアにおいて使用されていないチップの未知のハードウェアレジスタにデータや宛先アドレス、データハッシュを書き込むことでハードウェアレベルのメモリ保護機能をバイパスし、特定の物理アドレスにデータを書き込んでいたという点にある。

　Kaspersky Labはこの未知のハードウェア機能について、Appleの技術者がデバッグやテストなどの目的で使用していたものが誤って含まれたものではないかと推測している。脅威アクターがどのようにしてこの情報を入手し使用方法を得るに至ったかは明らかになっていない。

　Kaspersky Labはこれまで数多くの脆弱性を分析し、AdobeやApple、Google、Microsoftなどの製品から30件以上のゼロデイ攻撃を発見してきたが、「Operation Triangulation」はこれまでで最も洗練された攻撃チェーンだとしてこの攻撃の複雑さを指摘している。

　Kaspersky Labは分析内容について説明したのち、ハードウェアレベルのセキュリティは隠蔽（いんぺい）という面に依存している面が多く、保護を回避するハードウェア機能が存在している限り最終的に役に立たなくなる可能性が高いと指摘している。