Apple(アップル)はセキュリティ上の脆弱性3カ所を修正したiOS 14のアップデートであるiOS 14.4を公開した。修正されたバグはすでにハッカーによって攻撃に利用されていたという。
Appleは、iOSとiPadOS 14.4のセキュリティアップデートのページで「3つのバグが悪用された可能性がある」と述べている。 脆弱性の詳細は明らかにされていない。Appleの広報担当は公式発表の内容を超えるコメントを避けた。
誰が脆弱性を積極的に悪用していたのか、攻撃の犠牲になったのは誰かといった詳細は不明だ。 Appleは攻撃が特定のユーザーを標的にしたのか、広汎な無差別攻撃だったのかについても明らかにしていない。Appleは「バグ報告者の身元は明らかにしない」と述べた。
バグのうち2つは、SafariブラウザのエンジンであるWebKitとOSのカーネルでそれぞれ発見された。単一の脆弱性ではなく、一連の脆弱性を連鎖的に利用するものもある。攻撃者がOSにアクセスする突破口としてまずデバイスのブラウザの脆弱性を突くことは珍しくない。
Appleは詳細を間もなく発表すると述べたが、具体的な時期は述べなかった。
Appleは自社のデバイスがセキュリティに強いというイメージを維持したいためか、ユーザーがハッカーによる攻撃の被害を受けた可能性があることを認めたことはほぼなかった。
2019年にGoogle(グーグル)のセキュリティチームは、ユーザーに気づかれずにiPhoneをハッキングできるコードを含む悪意あるウェブサイト多数を発見している。 このときTechCrunchは、「これはウイグルのイスラムに対する中国政府によるスパイ行為の一部だった可能性が高い」と結論を出した。これも珍しいことだったが、AppleはGoogleの調査結果に異議を唱える公式声明を出している。しかし「攻撃の深刻さを過小評価するもの」としてさらなる批判に直面することとなった。
2020年12月、市民によるインターネット監視グループであるCitizen Labは、詳細不明の脆弱性によって数十人のジャーナリストがiPhoneをハッキングされていたことを発見した。この攻撃はイスラエルを拠点とするNSOグループが開発したスパイウェアをインストールするために行われたという。
述べたとおり詳細はまだ不明だが、iPhone、iPadのユーザーは早急にiOS 14.4にアップデートすべきだろう。
関連記事
・悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明
・iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い
・アップルがグーグルのiOS脆弱性発表に「ウイグルだけの話」と反論
・ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚
カテゴリー:セキュリティ
タグ:Apple、iOS、アップデート
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(翻訳:滑川海彦@Facebook)