アップルがiOS 15.2.1リリース、iPhoneとiPadにHomeKitの欠陥に対するパッチを適用

Apple(アップル)は、iOSおよびiPadOSに存在するセキュリティ脆弱性を修正した。この脆弱性は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性がある。

Appleは米国時間1月12日にiOS 15.2.1およびiPadOS 15.2.1をリリースし、セキュリティ研究者のTrevor Spiniolas(トレバー・スピニオラス)氏によって1月初めに開示された、いわゆる「doorLock」と呼ばれる欠陥を修正した。このバグはiOS 14.7からiOS 15.2を搭載したiPhoneおよびiPadに影響するもので、Appleのスマートホーム基盤であるHomeKitを介して発生する。

このバグを悪用するには、攻撃者はHomeKitデバイスの名前を50万文字を超える文字列に変更する必要がある。この文字列がユーザーのiPhoneやiPadに読み込まれると、デバイスのソフトウェアがサービス拒否(DoS)状態に陥り、フリーズを解除するために強制リセットが必要になる。しかし、デバイスが再起動し、ユーザーがHomeKitにリンクされたiCloudアカウントにサインインし直すと、再びバグがトリガーされる。

ユーザーがHomeKitでデバイスを1つも追加していなくても、攻撃者は偽のHomeネットワークを作成し、フィッシングメールでユーザーを騙して参加させることができる。さらに悪いことに、攻撃者はdoorLock脆弱性を利用して、iOSユーザーに対してランサムウェア攻撃を仕かけ、デバイスを使用できない状態にロックして、HomeKitデバイスを安全な文字列長に戻すために身代金の支払いを要求することができると、スピニオラス氏は警告している。

スピニオラス氏によると、Appleは2021年のセキュリティアップデートでこの問題を修正することを約束していたが、これが「2022年初頭」まで延期されたため、同氏はこの遅れがユーザーに「深刻なリスク」をもたらすことを恐れてバグを公開したとのこと。

「Appleはセキュリティ問題を確認し、私はこの4カ月間に何度もこの問題に真剣に取り組むよう彼らに促したにもかかわらず、ほとんど為されていませんでした」と同氏は書いている。「頻繁に要求したにもかかわらず、この問題に関するステータスの更新は稀で、並外れて少ない詳細情報しか得られなかったのです」。

「Appleの透明性の欠如は、しばしば無償で活動しているセキュリティ研究者を苛立たせるだけでなく、セキュリティ問題に関するAppleの説明責任を低下させることで、日々の生活でApple製品を使用している何百万人もの人々にリスクをもたらしています」とも。

このアップデートは現在ダウンロード可能で、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象となる。

画像クレジット:file photo

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。

この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。

当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。

「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。

誰が影響を受けているのか?

Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している

これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。

iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。

Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している

脆弱性の深刻度は?

Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。

セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。

また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。

広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)