空白メールに要注意!8年近くハッカーに利用されていたiOSバグの存在が明らかに
セキュリティ強度が高い事で知られるiOS、一般に脱獄したりApp Store以外からアプリを入れたりしない限りは安全だと言われていますが、どうやら我々が知らないだけで一部のハッカーは8年近く同じiOS脆弱性を利用していたようです。
先日サイバーセキュリティ企業が新たに発見したiOSの脆弱性があるのですが、これを利用してハッカーらが著名なiPhone所有者の不正に入手していた事が明らかになりました。
空白メールを絶対開かない
サイバーセキュリティ企業であるZecOps社のズク・アヴラハム氏は先日、iOS標準搭載のメールアプリに重大な脆弱性を発見した上で、この脆弱性がiOS 6リリース頃、つまりiPhone 5がリリースされて以来特定のハッカーらに利用されていたと説明しています。
この脆弱性は情報を引き出したいユーザーのiPhoneに件名や本文が見えない特殊な空白メールを送り、ユーザーがそのメールを開封する事で成立するというもの。
空白メールを開く事でメールアプリがクラッシュしリセットされてホーム画面に戻るのですが、このタイミングでiPhoneにある様々なデータを盗み出せるとの事で、アヴラハム氏は実際に同じ手法でデータが盗み出せる事を実証しています。
アヴラハム氏はこの脆弱性を昨年クライアントが受けたサイバー攻撃の調査で偶然発見したそうで、このクライアントは2018年から実に6回も同様の攻撃を受けハッキングされていたと報告しています。
These 0 click vulnerabilities that had in the wild triggers exists on iOS since (hold your breath)… iOS 6!! This is one of the deepest vulnerabilities ever discovered on mobile (including Android). https://t.co/4mjXsPfrKM
— Zuk (@ihackbanme) April 22, 2020
この調査結果はアヴラハム氏がブログで公開しており、すでにAppleからアプローチがあったようで、Appleは脆弱性に対する修正を今後のアップデートで公開すると話しているそうです。
ただしこのアップデートが今すぐ適用されるバージョンのものなのか、メジャーアップデートが必要なレベルの修正なのかは明らかになっておらず、いつリリースされるのかは全くの未定となっているようです。
この脆弱性を利用するとiPhoneにある様々な情報を盗み出されてしまうとの事なので、純正のメールアプリに件名も本文もない怪しい空白メールが来た場合は、開かずに削除なりするようにしましょう。
それでも不安な方はAppleの純正メールアプリの使用を一時的にでも中止し、別のメールクライアントアプリをインストールして使用すると良いでしょう。
まとめ
このような重大な脆弱性が8年近く見つけられておらず、そして悪意あるハッカーらがiPhone 5がリリースされて以来ずっと使用していたというのは、Appleにとってイメージダウンにもつながるようなニュースとなってしまいました。
いつ脆弱性を修正したアップデートがリリースされるかはわかりませんが、iPhoneやiPadのOSバージョンは安全性を考慮して常に最新にしておくように心がけましょう。