セキュリティ

今年2月に、iOS 11.2でインドのテルグ文字でiPhoneやiPadがクラッシュする問題が発生しましたが、今度はまた新手の”クラッシュ文字列”が発見されました。EverythingApple ProのYoutubeへの投稿で、”black dot”と呼ばれる文字列をiOS標準のメッセージアプリやWhatsAppなどのサードパーティ製アプリで送られ、そのメッセージをiPhoneやiPadでクリックして開こうとすると、デバイスがクラッシュしてしまう問題が報告されています。最新のiOSバージョン11.3〜11.4ベータ版でもその問題があり、iOSデバイスがフリーズしたりクラッシュしたりするようです。

米国でのFBIとAppleの間の確執と攻防戦は数年の長い間に渡って続いてきました。FBIは犯罪者の情報が入っていると思われるiPhoneの解除をAppleに要求してきましたが、Appleはユーザの保護を第一に考えているとして断固として解除を拒否してきました。しかしこのバランスは現在はFBIの方に有利に傾いているようです。。というのも、当ブログでもこれまで何度かお伝えしてきたiPhoneのパスコードを比較的簡単にクラックできてしまうツールが、アメリカの警察やFBI等の組織の中で既に広く利用されているからです。

カナダのバンクーバーで現地時間2018年3月14日〜15日の2日にわたって行われた”Pwn2Own 2018″ハッカー大会（セキュリティ協議会）において、AppleのブラウザSafariが2度もクラックされてしまいました。そのうちの1回は、あるチームが30分以内に3回攻撃を試したところSafariの防衛ラインを突破でき、もう1つのチームは4回のテストでクラックに成功しています。Pwn2Own 2018でのSafariブラウザのクラックについての結果は、既に大会を主催する“Zero Day Initiative（ゼロデイ・イニシアティブ、以下ZDI）”のサイトで公開されています。なお、このハッカー大会はZDIと、マルウェア対策ソフトウェアメーカーとして有名なトレンドマイクロ（Trendmicro）の共同開催となっている、正式なセキュリティ協議会といえます。

当ブログでもお伝えした通り、先日iPhoneのパスコードロックを解除できるという機械”GrayKey”がリリースされ、ニュースとなりました。このツールはアメリカのFBIなど、安全を司る組織では重宝されているようです。というのも、これまでiPhoneをクラックして解除するのに、FBIはイスラエルのセレブライト（Cellebrite）社に100万ドル以上（1億円以上）を支払っていたところ、この”GrayKey”は一台あたりたった50ドル（約5,300円）で解除できてしまうからです（最初に支払う額が大きく、大量に解除すれば更に1台当たりの価格が下がるプランも提供されています）。では”GrayKey”はいったいどのようにiPhoneをクラックしてパスコードロックを解除するのでしょう？海外メディアのMalwareBytesが実際に試しているので、まとめて要約してお伝えします。

最近、中国版TwitterのWeibo（微博）上で、@美国往事1999というユーザが、去る3月1日にとあるAppleの公式テクニカルサポートスタッフ（スペシャリストのこと？以下技術顧問）が不法に彼のApple ID（iCloud）の個人情報を盗み取り、そしてそれをもとに脅迫をした、として情報を公開しました。この事件については中国のネット界隈で騒ぎとなり、多くの人がApple中国の従業員のモラルについて、そしてAppleのユーザのプライバシー保護への体制や態度について、またちょうどiCloudのサーバが中国国内企業のGCBD（雲上貴州）に移管されて初日に発生した事件だったためにGCBD情報管理体制について、疑問を投げかけていました。それから数日たった3月8日、Appleはとうとうこの事件について、公式に声明を発表するに至りましたが、事件は全容解明には至っていません。この事件が果たしてAppleのiCloudが中国国内企業のGCBD（雲上貴州）に情報が移管された中国だからこそ発生したのか、或いは同様のことが日本の我々にも発生しうるのか、ちょっと気になりますよね。そのWeiboユーザが事件の発生と経過についてまとめてヘッドラインニュースとして公開していて、319万人以上が閲覧し大量のコメントがついている事態になっています。日本ではまだこの件について報道されていないようなので、まずはこの事件について、どのような経過を辿ったのか、振り返ってみたいと思います。

最近、Appleのデバイスのセキュリティ問題がよく取り沙汰されています。中国国内ではAppleのiCloudサービスが中国国内企業GCBD（雲上貴州）が管理するデータセンターに移管されたニュースは中国国内で大きな議論を呼びました。またアメリカ初のApp StoreからのApp定期購読通知を装ったフィッシングメールの影響も大きく、Appleはフィッシング防止方法について公式に声明を出したほどです。そんなセキュリティ問題で話題になっているApple IDですが、ではあなたのApple IDはいったいどのくらいの価値があるのでしょうか？9to5Macによると、Apple IDは金融サービス業界のものを除けば、もっとも価値が高い”ログイン情報”となっているようです。

iPhoneはこれまで世界で最も安全なデバイスとされていました。FBIでさえロック解除ができず、毎回イスラエルの会社に数百万ドル（数億円）を支払うことでやっと1台のiPhoneを解除できる、というレベルでした。しかしこの状況も変わってしまうかもしれません。先日、アメリカのGrayshiftというベンチャー企業が、”GrayKey”というツールを発表し、これで15,000ドル（約160万円）で最新のiOS 11を搭載した、iPhone XやiPhone 8さえロック解除できるというのです。

スマートフォンにはますます複雑化するOSが搭載されているため、各種のバグやセキュリティホールが存在するのはなかなか避けられない状態となっていて、酷い場合には犯罪グループの”道具”となってしまうことさえあり得ます。自社ブランドのセキュリティを高めるため、多くのメーカーは定期的或いは不定期にシステムアップデートによってそのセキュリティレベルを保持していますが、そこにセキュリティホールや脆弱性もすぐに追いついてしまうのが現状でもあります。ではいったい、どのスマートフォンが一番安全なのでしょうか？SecurityLabが評価を行い、Twitter上で発表しています。

先日世間を騒がせた上にAppleにiOS 11.2.6をリリースさせるほどになった、受信するだけでiOS 11.2.5までのバージョンを搭載したiPhone/iPad/Mac/Apple WatchなどApple製品をクラッシュさせてしまうという、特定の破壊的なインドのテルグ文字。ネット上では爆弾文字とも呼ばれています。しかし実際に検索してもその”爆弾文字”そのものについて詳しく検証しているところはなく、そしてあまり調べる人もいないかと思い、ちょっと気になった私はUnicode表で実際に調べてみました。。という記事です。あんまり意義はないかもです。。笑

たった1文字のメッセージでiPhoneやiPadなどをクラッシュさせることができる、まるで呪いの文字のようなものがあることがイタリアメディアのMobile Worldでの報道で明らかになり、衝撃が走っています。後に、Apple WatchやMacも同様にクラッシュすることがわかっています。

FacebookがiOSアプリで最近追加した機能に、Protectという項目があります。これを選ぶと一種のVPNアプリがインストールされます。スパイウェアのインストールを防ぎ、ユーザを守るという名目で、そのVPNアプリは無償で提供されていますが、実態はユーザがそのVPNアプリを使って通信したデータを収集し、Facebookのサービスや製品の品質向上のために使う、とされていることで物議を醸しています。

当ブログでもお伝えしているとおり、3日前、匿名の人がAppleのiOS（iPhone/iPad/iPod Touchのオペレーティングシステム）の中核となる基本コンポーネントをインターネットに公開しました。「ZioShiba」という名前のユーザが、オープンソースコードのインターネット最大リポジトリであるGitHubに、オペレーティングシステムの信頼できるブートを保証する、iOSの重要な基本構造の一部である”iBoot”のクローズドソースコードを公開したのです。

昨日当ブログでもお伝えした、iOSの起動の際に署名確認を司るセキュリティの要といわれているiBootのソースコードがGitHubで流出した事件が話題を呼びました。このソースコードを使うことで、善玉セキュリティ研究者だけではなく、悪玉ハッカーもiOSの脆弱性を見つけやすくなってしまうからです。Apple史上最悪のセキュリティ事件とも呼ばれているほどの衝撃が走りましたが、Appleはそれについて認めつつも、独自の見解を披露しています。

Motherboardによると、昨日、GitHubのユーザがAppleのiBoot（iBoot second-stage loader）のソースコードをリークしました。また、その事実についてハッカーのジョナサン・レヴィン（Jonathan Levin）氏もTwitterに投稿しています。iBootとは、OS（オペレーティングシステム）の起動の際にAppleの署名を確認して信頼性を高めるもので、iOSのセキュリティの非常に重要な部分といえます。これはApple史上最大のセキュリティ事件になるかもしれません。

The Vergeが報じたところによると、法廷宣誓供述書とアラスカのアメリカ連邦地方裁判所に関連裁判書類から、連邦捜査官がロシアのiCloudユーザ、ピーター・レバショフ（Peter Levashov）がKelihosに接続した容疑で、同氏のアカウントにアクセスできるよう要求していたことがわかりました。Kelihosとは、コンピュータに感染するとスパムのホストになってしまい、マルウェアやその他のマルウェア的なコンテンツを発信するようになるというマルウェアの1つです。