iPhone・iPadにゼロデイ脆弱性、日本の携帯キャリアもハッキング標的

　iPhoneやiPadのオペレーティングシステム「iOS 13.4.5」に、ハッキングされる恐れのある脆弱性が発見された。Appleは、急ピッチで修正に取り組んでおり、次回アップデートで改善される見込みだ。

　この脆弱性の情報が広く知れ渡ったことで、修正が行われるまでの短期間に、ハッキングされるリスクもあるので、警戒が必要だ。

（参考：【写真】ついに“折りたたみiPhone”が誕生？ 明らかになった特許画像）

・サイバーセキュリティ企業が報告

　この問題を報告した米サンフランシスコにあるサイバーセキュリティ企業ZecOpsのCEOであるZuk Avraham氏によると、脆弱性は、少なくともiPhone 5がリリースされた時（2012年9月）のiOS 6から存在していたという。

　確認されただけでも攻撃は、米国、日本、ドイツ、サウジアラビア、イスラエルの企業上層部、要人、ジャーナリストの6人に対して行われた痕跡があり、その中には日本の携帯電話会社の要職も含まれているという。これらの攻撃の背後にあるグループや国家は今のところ、明らかになっていない。

・ハッキングだと気がつかれない、ゴーストのような手口

　この脆弱性で、リモートコード実行が可能になり、大量のメモリーを消費するEメールを送信することにより、リモートでデバイスを感染させることが可能になる。ユーザーはメール自体に異常を感じることはない。また、メール全体がダウンロードされる前にトリガーされる可能性があるため、メールの内容が必ずしもデバイスに残るとは限らない。攻撃が成功した後に、攻撃者がメールを削除した可能性も否定できないという。

　また、メールアプリケーションが、バックグラウンドで開かれている時のゼロクリック攻撃も確認された。ユーザーが、何もクリックしなくても、侵入を許してしまう。攻撃されたメールアプリは、iOSのネイティブアプリのみで、GmailやOutlookといった外部のメールアプリでは問題は発見されなかった。

　どちらの手口もユーザーに不信だと思われれずに、侵入することが可能だ。『Forbes』は「ゴーストのような攻撃ツールは非常に周到だ」と記している（参考：https://www.forbes.com/sites/zakdoffman/2020/04/22/serious-iphone-hack-just-exposed-new-report-says-victims-wont-notice-anything/#573224a37564）。

・Appleは脆弱性を認め、iOS修正

　Appleのスポークスマンは、iPhoneとiPadでメール用にAppleが提供しているソフトウェア「Mail app」に脆弱性があることを認め、修正を施し展開すると『Reuters』に述べている（参考：https://www.reuters.com/article/us-usa-apple-cyber/flaw-in-iphone-ipads-may-have-allowed-hackers-to-steal-data-for-years-idUSKCN2242IK）。

　サイバーセキュリティ業界で、Appleはデジタルセキュリティのスタンダードが高いと見られてきた。

　しかし今回明らかになったハッキングへの脆弱性は、長年に渡り多くの人々に影響を与えてきた可能性がある。iPhoneは、最も人気のスマホで、約9億台が世界中でアクティブに使用されており、iPadもあわせるとその数は実に10億台を超えると言われている。

　ユーザーとしてできることは、最新のiOSがリリースされ次第、アップデートすることだろう。（Nagata Tombo）