iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か（Appleからのコメントあり）

[松尾公也，ITmedia]

　セキュリティ企業の米ZecOpsは4月20日（現地時間）、最新バージョンであるiOS 13を含むiOSデバイスのメール機能に脆弱（ぜいじゃく）性があり、既に攻撃が始まっていると公式ブログで指摘した。

ZecOps公式ブログ

　攻撃者は、リッチテキスト形式のメールや複数に内容を分割した規格のメール（MIMEマルチパート）など、メモリを大量に消費するメッセージを送付。それを一部でも受け取ると悪意のあるコードが外部から実行されてしまう。iOS 12では手動で開封したときに攻撃されるが、iOS 13ではバックグラウンドで受け取るだけで攻撃にさらされる。

　ZecOpsはこの脆弱性を突いた攻撃が2018年1月に起きていたと指摘。iOS 6（iPhone 5時代）以降でこの脆弱性の存在が認められるという。

　ZecOpsによれば、この脆弱性はiOS 13.4.5でフィックスされているが、これはまだβ版で、現在の最新版iOSは13.4.1だ。

iOSの最新版は脆弱性未パッチ

※4月24日追記：

Apple広報担当者から問題への対応についてコメントが寄せられた。要旨は次の通り：

AppleはZecOpsからの報告を全て調査したが、同社から提供された情報からは、この問題はAppleのユーザーに対して直近の脅威とはならないとの結論に至った。報告ではMailについて3つの問題点が指摘されていたが、それだけでiPhoneとiPadのセキュリティ防御をバイパスするには不十分で、当社の顧客が攻撃を受けたという証拠も見つかっていない。これらの潜在的問題は近々行われるソフトウェアアップデートで対策される予定だ。