アップルがグーグルのiOS脆弱性発表に「ウイグルだけの話」と反論

先週、iOSの脆弱性から数年間もiPhoneが密かにハックされていたという詳細な研究をGoogle(グーグル)が発表したことに対して、Apple(アップル)が不快げな反論を公表した。このiOSの脆弱性はは悪質なサイトを訪問するだけでルート権限を奪われるという深刻なものだった。

Appleは反論の中で「我々はユーザーが事実を把握することを望む」と述べているが、おかしな話だ。もしGoogleの研究チームが詳細な研究結果を発表しなかったら、こうした事実は一切ユーザーの目に触れることはなかったはずだ。

Appleは短い記事で「一部から(iOSのセキュリティがについて)懸念が出ているが、なんら危険はないと知ってもらいたい」と述べている。

Appleによれば「このハッキングはごく狭い範囲の特殊な条件を前提としており、大規模な攻撃には適さない。この攻撃を成功させたのはわずか10件程度で、すべてウイグルの(ムスリム住民)関連サイトだった」という。 一方、AppleはTechCrunchのiPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑いという記事を事実と認めた。

なるほど、iOSの欠陥を突いた攻撃に成功したのは少数のサイトだけだったかもしれないが、Googleの研究によれば、これらのサイトはそれぞれ毎週何千回も訪問されていた。しかもハッキングは2カ月にわたって続いていた。控えめな計算でも10万台以上のデバイスが侵入を試みられ、脆弱性があればマルウェアを仕込まれていた可能性もある。かりにiPhoneがデバイス100台に1台しかなかったとしても数千人のiPhoneユーザーがルート権限を奪われていたわけだ。これだけの被害が推定できれば十分に「大規模な攻撃」だったと私には思える。

ウイグル住民が主たるターゲットだったら安心せよというのだろうか?中国のある地方全体で宗教や信条を理由として大規模な迫害が行われていることは我々には無関係なのか?

もちろんここで論じられているのはiOSの脆弱性だが、ウイグルのムスリム攻撃ではAndroidデバイスもターゲットとなっていたはずだ。ウイグルのような地域ではiPhoneよりAndroidのほうがはるかにポピュラーなスマートフォンなので、セキュリティ研究者はAndroidに対するハッキングについても調査中のはずだ。

Appleは「(Googleは)当局がスマートフォンを通じて地域の全住民を網羅的にリアルタイムでモニターできるという不安をiPhoneユーザーの間に掻き立てている」と不平を言っている。

しかしこのケースでのGoogleの発表は根拠なく不安を煽っているわけではない。一見正常なウェブサイトを訪問するだけで検知不可能なルート権限奪取が行われるというのはまさに当局によるストーカー行為そのものではないだろうか?ウイグルのiPhoneユーザーが不安を感じても当然だろう。しかもこのような当局によるハッキングの試みがウイグル地域に限定されるという保証は何ひとつない。

Appleは「Googleの通報を受けたときには我々はすでにバグの修正にかかっていた」という。それはそれで大変結構だ。 しかしそれならAppleはそのバグの技術的詳細を他のセキュリティ研究者やユーザーが参考にできるようただちに公表したのだろうか?

Appleは「iOSのセキュリティーは万全」と長年主張してきただけに、ウイグル関連で強力かつ巧妙な攻撃が成功したことについて触れられるのは苦痛だったのだろう。こうした地域全住民をターゲットとするハッキングを行う動機と能力があるのは国家的組織であることはまず間違いない。ウイグル地区で中国政府がイスラム系少数民族に対して厳しい圧迫を加えていることを考えればiPhoneハッキングの背後にそうした背景を考えても不思議ではない。Appleは「セキュリティの追求は終わりなき旅路」だと主張している。しかし知らぬ間にiPhoneを乗っ取られ、行動を逐一モニターされているウイグル住民に対しても「終わりなき旅路」だから気にするなというつもりだろうか?

GoogleのProject Zeroの研究者がハッキングに関する詳細な文書を公表しなければ、我々はこの問題についてまったく知らずに過ぎてしまったことは間違いない。AppleはiOSのマイナーアップデートの無数の「セキュリティの改良」の中にこの問題も埋め込んでしまったはずだ。

iPhoneに対する攻撃は現実に成功し多数の被害者が出ていることが強く推定される。「終わりなき旅路」なのかどうかはともかく、これは深刻なセキュリティ上の問題だった。Appleが防御的になるのは理解できるが、「酸っぱいブドウ」的な負け惜しみを言う前にまず失敗を認めたほうがいい。

原文へ

(翻訳:滑川海彦@Facebook

iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い

この2年半、iPhoneをハッキングするために多数の多数の悪意あるウェブサイトが作られてきたと Googleが発表したことをTechCrunchは先週報じた。

この問題に詳しい情報源はこうしたサイトの一部はウイグルのムスリムをターゲットとしており、国家的背景があったと考えていることをTechchCrunchはつかんだ。おそらくは新疆ウイグル自治区のムスリムコミュニティに対する中国政府の攻撃の一環だという。

そうであれば、近年繰り返されてきた中国政府によるムスリムマイノリティ迫害の新たな例だ。国連人権理事会が「ウイグルで100万人以上のムスリム住民が不当に拘束されている」として北京政府に強く抗議したことを先週 WSJが報じたところだ。

iPhoneをハッキングするための悪意あるサイトを発見したのはGoogleのセキュリティ専門家だが、これまで誰をターゲットとしているのか明らかでなかった。

Googleが発見したサイトは訪問してページを開くだけでサーバーが訪問者のデバイスをハッキングし、ユーザーの活動をモニタリングを行うマルウェアを埋め込むブービートラップ式攻撃を行うという。ひとたび感染するとiPhoneのソフトウェアに無制限のアクセスが可能となり、攻撃者はユーザーのメッセージ、パスワード、位置情報などをほとんどリアルタイムで知ることができるようになる。

この攻撃を可能にしたiOSの脆弱性についてGoogleがAppleに密かに警告したため、 同社はiOS 12.1.4のアップデートで修正したという。この攻撃が行われたのは今年2月だったが、明らかになったのは先週だ。

こうした悪意あるウェブサイトへの訪問者は「少なくとも2年間にわたって毎週数千人いた」とGoogleは述べている

米国時間9月1日、Forbes(フォーブス)も我々の記事を受けて、 このハッキングの事実を確認した。iPhoneだけでなく、AndroidやWindowsのユーザーもターゲットだったという。この攻撃は当初Googleが発表したよりはるかに広範にウイグルの住民をターゲットとしたものとフォーブスの記事は示唆している。

被害者は悪意あるサイトへのリンクを開くよう誘い込まれる。サイトがユーザーのデバイスに読み込まれるとマルウェアに感染してしまう。これはスパイウェアを仕込むためによく用いられるテクニックだ。

TechCrunchが取材した情報源によれば、マルウェアを含むサイトはGoogleにインデクシングされるため、ウイグル住民だけでなく、Google検索から偶然サイトを開いたユーザーのデバイスにも感染するという。このためFBIはGoogleにこうした悪意あるサイトを検索結果の表示から削除するよう要請した。

Googleの広報担当者は公表された事実以上のコメントを避けた。 FBIの広報も報道に対して「肯定も否定もしない」方針だと述べた。

これらのサイトは訪問しただけで無差別にユーザーが被害を受ける「ウォーターホール攻撃」であるため危険度が高かった。ブログ記事を公開した後、Googleは「なぜサイト名などの詳細を発表しなかったのか?」と一部から批判された。またGoogleはこの攻撃を行った容疑者についても沈黙している。

Appleはこの件についてコメントを避けた。ニューヨーク市の中国領事館に対してメールでコメントを求めたがこれにも回答がない。

アップデート:フォーブスの記事を受けて関連する部分を補足した。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook