AppleのiPhone/iPadのオペレーティングシステム、iOSに標準搭載されている”メール”アプリに、ゼロデイ脆弱性が発見されていたことが複数のテック系メディアの報道でわかりました。しかも、既にそのゼロデイ脆弱性が特定のユーザを標的に、悪意のあるハッカーによって利用されている、というのです。
ゼロデイ脆弱性はWikipediaによれば、以下のように定義されています。
ゼロデイアタックによる攻撃を受ける可能性があるシステム上の欠陥や問題点のことである。 ゼロデイアタックは、システムの脆弱性が発見されて公表された場合に、修正プログラム(パッチ)の提供が開始される前に、その脆弱性を突くマルウェアを開発して攻撃することを指す。
サンフランシスコに本拠を置くサイバーセキュリティ企業のZecOpsによれば、顧客のデバイスに対してデジタル鑑識(デジタルフォレンジック)を行っている時にこのiPhone/iPad用iOSの脆弱性(しかも複数)を発見し、更にこの脆弱性を使って既に標的型攻撃が行われている形跡も発見したことが報告されています。
メールを使って攻撃するタイプの複数のゼロデイ脆弱性、iOS 6まで遡って存在、現在パッチはなし!
この脆弱性によって、悪意のある攻撃者は、特別に細工されたメールを送付することで、iOS 12およびiOS 13においてAppleのMobileMailおよびMailidプロセスを悪用してリモートコードを実行することができます。そして、それらが適切にトリガーされた場合、ユーザーはハッキングされていることに完全に気がつきません。
更にこの報告によると、この脆弱性の亜種がiOS 6まで遡って存在するとしています。これらの脆弱性は現時点でまだAppleのiOSに対するパッチを適用していない状態で攻撃が可能なため、「ゼロデイ脆弱性」と呼ぶことができます。世界のOSの中でも非常に堅牢なことで知られるiOSにおいて、このような「ゼロデイ脆弱性」が現在も存在するというのは非常に稀なことであり、このゼロデイ脆弱性は高額で取引される可能性があります。
現状は一般ユーザには影響なし、しかし今後は別の攻撃とあわせてデバイスが乗っ取られることも
ただし、このゼロデイ脆弱性そのものは実際には一般のユーザにとってはそれほど大きなリスクをもたらすことはありません。この脆弱性を利用することで、悪意のある攻撃者はメールの漏洩・改ざん・削除することのみが許可されるからです。しかしこのゼロデイ脆弱性が怖いのは、パッチが適用できない「Checkm8エクスプロイト」などの別のカーネル攻撃と組み合わせて、悪意のある攻撃者がroot権限で特定のターゲットデバイスにアクセスする可能性があることです。
しかもそのゼロデイ脆弱性のうちの少なくとも1つは、ユーザーの操作なしにリモートでトリガーできてしまいます。これは、「ゼロクリック」と呼ばれる攻撃です。ZecOpsは、この脆弱性はゼロクリックを活用しようとしたときに偶然発見された可能性が高いと付け加えました。そしてiOS 13に影響を与える脆弱性はこの「ゼロクリック攻撃」です。
ちなみにiOS 12のゼロデイ脆弱性では、ユーザーは実際にメールをタップする必要がありますが、その要件は、ユーザーが制御するメールサーバーからメッセージを送信するというもので、攻撃者には適用されないため通常は影響はありません。
標的はエリート社員やジャーナリスト、VIPなど
上記のレポートの中で、ZecOpsは、北米のフォーチュン500企業の従業員、ヨーロッパのジャーナリスト、ドイツのVIPなど、多数のユーザが標的にされていることが発見されました。肩書きを見るだけでも、世界でも上層の人達、つまりメールの内容を覗いたり改ざんしたり削除することで相手や相手の企業に非常に大きな影響を与えるレベルの人達だといえます。ちなみに、日本の某通信会社(どこかはわかりますね。。)の役員の端末も対象になっていたということです。恐ろしいですね。
しかし興味深いことに、標的のデバイスでこのゼロデイ脆弱性を利用したエクスプロイト(欠陥攻撃)が実行されたという証拠はあったのですが、電子メール自体は存在していませんでした。これは、攻撃者が追跡を避けるためにメールそのものを削除したことを示唆しています。
ZecOpsのセキュリティ研究者たちは、今回上記の標的を攻撃した攻撃者は、どこか第三者から攻撃を購入した「国民国家」のために働いていたと信じており、少なくとも1つの「雇用主ハッカー」組織が、主な手段として電子メールを使用するエクスプロイトを販売していた、と付け加えました。恐らくダークウェブを通じて売買されたものと思われます。
現状は「洗練されていない手法」、しかし将来は。。
一方、MotherBoardによると、ZecOpsのセキュリティ研究者たちは、今回のゼロデイ脆弱性は他のハッキング攻撃と比較して比較的洗練されていない手法だとしています。つまり高度な攻撃者はおそらく「高価値の標的」に対してこれを使用するのは危険すぎると考えていると述べています。
それでも、ZecOpsは、この脆弱性を利用したエクスプロイトを使用した攻撃は現在も公開されているため、攻撃の頻度が高くなる可能性があると指摘しています。悪意のある攻撃者は「できるだけ多くのデバイスを攻撃する」と述べていて、最終的には通常のユーザーが標的にされる可能性があることを意味しています。追加の脆弱性へのアクセス権を持つサイバー犯罪者がエクスプロイトを利用した場合、更に危険度が高まることになります。
macOSには影響なし
脆弱性はネイティブのメールアプリケーションにのみ影響し、サードパーティのアプリケーションには影響しません。攻撃を緩和するために、ZecOpsは、パッチが発行されるまで、ユーザーがiOSおよびiPadOSでのメールの使用を停止することを推奨しています。なお、このゼロデイ脆弱性はiOSのみで、macOSは影響を受けません。
iOS 13.4.5ベータ版ではパッチによる修正済み、正式リリースが待たれる
なおZecOpsはこの2月に発見された脆弱性について、既にAppleに警告したと語っています。その後、現在のiOS 13の最新のiOS 13.4.5ベータリリースでは既にこれらのゼロデイ脆弱性に対するパッチが適用されていることがわかっています。次のiOS 13.4.5正式版アップデートで、一般向けに修正が加えられる予定です。
Appleさん、これは早くした方がいいと思いますよ。。ちなみにこれが脱獄(ジェイルブレイク、Jailbreak)に利用できる脆弱性となるかどうかについては。。当ブログでは何ともコメントで来ません。
記事は以上です。
(記事情報元:ZecOps 、MotherBoard 、Apple Insider)