当ブログでも昨日お伝えした、AppleのiPhone/iPad用のiOS 13等のメールアプリにあるゼロデイ脆弱性のニュース。しかもこの脆弱性を利用した攻撃が、世界の比較的力を持つ人物に対する攻撃として既に利用されている、とセキュリティ研究機関のZecOpsが報告していました。しかし、Appleはその報道を強烈な言葉で「証拠がない」とバッサリ否定しています。
iOSメールアプリの脆弱性の背景
そもそものZecOpsによる報道は当ブログでもお伝えした通りです。
上記の記事及びこれまでのiOSメールアプリの脆弱性のニュースを整理してみると、以下の通りです。
Appleは、セキュリティ研究家グループのZecOpsによって発見された3つの問題を既に認識し、まだ一般には公開されていませんが、デベロッパ向けには配布されているiOS 13.4.5ベータ版にてこれらにパッチを適用しています。
しかし、ZecOpsはさらに、2018年1月までさかのぼってこれらの脆弱性を悪用して実際の攻撃が行われたと主張しました(当時はiOS 11.2.2でした)。その主張は、脆弱性を利用したエクスプロイト(攻撃ツールのようなもの)を使用して、標的にされたという特定の個人の例を提供するほどまでだとされたのです。
ZecOps ResearchはThreat Intelligenceに基づいて、これらの脆弱性、特にリモートヒープオーバーフローが 、高度な脅威オペレーターによる標的型攻撃で広く悪用されていることを確信しています。
疑わしいターゲットは次のとおりです。
- 北米のフォーチュン500組織の個人
- 日本のキャリアの幹部
- ドイツのVIP
- サウジアラビアとイスラエルのMSSP(Maneged Security Service Provider)
- ヨーロッパのジャーナリスト
- 疑いあり:スイス企業の幹部
Apple、ZecOpsの報道を強く否定
しかしブルームバーグは、Appleが上記の主張を「裏付ける証拠を見つけることができない」だけでなく、その「脆弱性は報告された攻撃を成功させるには十分ではない」と述べていることを報告しています。
Appleは、ソフトウェアの欠陥によりハッカーが1年以上にわたってiPhoneやその他のiOSデバイスに侵入できた可能性があるというサイバーセキュリティ企業ZecOps Inc.の主張に対抗しています。Appleは調査を開始し、声明の中で、メールの問題だけではサイバー攻撃者がiOSに組み込んでいるセキュリティ機能を回避するのに不十分であり、しかもまもなく修正が行われると付け加えています。
「研究者の報告を徹底的に調査し、提供された情報に基づいて、これらの問題はユーザーに直接的なリスクをもたらすものではないと結論付けました」とAppleは語りました。「研究者はメールアプリで3つの問題を特定していますが、それだけではiPhoneおよびiPadのセキュリティ保護を回避するには不十分であり、それらが顧客に対して使用された証拠は見つかりませんでした。」
ただしこの否定は主張に対する完全な反駁にはなっていません。なぜならAppleの主張の通り、特定の脆弱性「だけ」ではセキュリティ保護機能を回避できない場合がありますが、「既存の脆弱性と組み合わせて」回避をすることが可能になることがあるからです。しかし、Appleのこの否定は強烈な言葉で表現されており、Appleは現実の攻撃は行われていないと本当に信じる何かがあるようです。
とはいえ、そこまで強い言葉で否定するということは、逆に何かあったのではないかと勘ぐってしまうのは意地悪な見方でしょうか。
記事は以上です。
(記事情報元:9to5Mac)