iPhoneの「BlastDoor」も破るゼロクリック攻撃を研究者が確認

[ITmedia]

　カナダのトロント大学のセキュリティ研究所Citizen Labは8月24日（現地時間）、バーレーン政府がイスラエルのNSO Groupのスパイウェアを使って複数の人権活動家のiPhoneにゼロクリック攻撃を仕掛けていたという調査結果を報告した。

　今回確認した攻撃対象9人中5人の電話番号が、7月にAmnesty InternationalとForbidden Storiesが共同で発表した「Pegasus Project」でリストアップした攻撃対象の電話番号に含まれていた。

　このうち、ある活動家の「iOS 14.6」搭載の「iPhone 12 Pro Max」は今年6月に攻撃を受けていた。

　この攻撃に使われたエクスプロイトは、米Appleが「iOS 14」に追加したiMessageを介するゼロクリック攻撃の対策機能「BlastDoor」も回避しているとCitizen Labは説明した。同研究所はこの攻撃が“ドア”をこじ開けたことから「ForcedEntry」と呼んでいる。

　Citizen LabはAppleにこの調査結果を報告し、Appleは調査していると認めたという。

　Appleは米AppleInsiderに対し、BlastDoorはiMessageのセキュリティ対策の一部に過ぎず、今秋リリース予定の「iOS 15」にはより多くの防御策が含まれると語った。