BBC News

2016年8月26日

米アップル社の携帯端末基本ソフト「iOS」の脆弱性を悪用すると、リンクをひとつクリックするだけでスパイウェアをインストールさせられることが明らかになり、アップルは25日、問題を修正するアップデートをリリースした。覚えのないテキストメールを受けとった人権派弁護士が、セキュリティー研究者に問い合わせたことで問題が判明した。

インターネットセキュリティー企業シティズン・ラブとルックアウトが、これまで認識されていなかった欠陥を3つ、アップルのコーディングに発見し、問題の原因をつきとめた。アップル社はこれを受けて、iOS 9.3.5をリリース。これによって脆弱性を修正したとしている。

シティズン・ラブとルックアウトは、修正が提供されるまで、事実関係の公表を控えていたと説明している。

アフメド・マンスール弁護士は8月10日と11日に、複数の不審なテキストメッセージを受け取った。リンクをタップすれば、アラブ首長国連邦(UAE)の刑務所で拷問されている人々について「秘密」を教えるという内容だった。

もし言われるがままにリンクを開いていたら、弁護士のiPhone6は「牢が破られていた」はず、つまりソフトウェアが勝手にインストールされていたはずだとシティズン・ラブ社は説明する。

「一度感染したが最後、マンスール氏の電話はポケット内のデジタル・スパイになってしまったはずだ。iPhoneのカメラやマイクを勝手に使い、端末の周辺にある活動を偵察し、WhatsAppやViberでの活動やチャットアプリの会話を記録し、行動を追跡しただろう」

「標的を定めた攻撃作戦の一環として、iPhoneの遠隔のっとりが仕掛けられた事例を、今回初めて確認した。珍しい発見だ」

ルックアウト社は、今回の攻撃で使われたスパイウェアは、イスラエルの「サイバー戦争」企業NSOグループだろうと見ている。

「これほど高度で洗練されたスパイウェア・パッケージは初めてだ。携帯端末が私たちの生活の一部となっていることと、携帯端末にしかない機能を組み合わせている。携帯端末は常に(WiFiや3G/4G回線を通じて)インターネットに接続されているし、音声通話やカメラ、電子メール、チャット、GPS、パスワード、電話帳などを備えている」とルックアウト社は指摘する。

NSO社は、自分たちは確かに「テロや犯罪」と戦うための技術を作っているが、今回の事案については何も知らないとコメント。問題のスパイウェアについては言及しなかった。

「これはかなり珍しいゼロデイ攻撃だ」とセキュリティー専門家のアラン・ウッドワード教授は言う。「ゼロデイ攻撃」とは、脆弱性を解消する手段がない段階で発生する脅威の意味。

「こうした脆弱性を一度に複数発見するのは、さらに珍しい。すでに悪用されていたことからしても、iOSユーザーの安全とプライバシーに対する深刻な脅威だ」

<分析>デイブ・リー、BBC北米テクノロジー担当記者

これは色々な意味で、サイバーセキュリティーのコミュニティーが正確にしかるべき形で行動するとこうなるという、教科書例のような事態だ。セキュリティーの専門家が脆弱性について連絡を受け、調査し、修正する責任のある企業(この場合はアップル社)に連絡し、修正をリリースできるようにした。アップルは、いかに深刻な問題か理解し即座に対応した。修正リリースまでわずか10日で、アップルの対応も評価に値する。

こういう種類の脆弱性は珍しく、非常に利益になりやすい。未知の脆弱性を「ゼロデイ」と呼ぶが、本物の「ゼロデイ」がアップルiOSのような主要ソフトウェアに影響する場合、それは100万ドル以上の値で取り引きされる。今回の場合、複数の「ゼロデイ」を組み合わせて、きわめて高度に洗練された攻撃パッケージが作られていたようだ。

修正がリリースされた今、次に注目されているのは、攻撃を仕掛けたとされるNSOグループだ。セキュリティー専門家たちは謎の多いNSOのことを、サイバー武器商人と呼ぶし、NSO自身も自分たちは、被害者の端末上に「ゴースト」として存在し、膨大な量の個人情報をひそかに収集することができると認めている。

人権監視団体プライバシー・インターナショナルによると、NSOグループは製品をメキシコやパナマの顧客に販売した実績がある。しかし時価総額10億ドル以上とされる同社の取引内容について、それ以外はほとんど知られていない。

米サンフランシスコを拠点とするベンチャーキャピタル「フランシスコ・パートナーズ」は、NSOグループの主要株主で、事業内容を明らかにするよう圧力が高まっている。しかしフランシスコ・パートナーズは、今回のiOS攻撃についてはまだコメントしていない。

(英語記事 Apple tackles iPhone one-tap spyware flaws

提供元:http://www.bbc.com/japanese/37192810

関連記事

  • PR
  • 新着記事

    »もっと見る