今すぐiPhoneをアップデートしてください

26日、Appleが公式サイト上で、重要なセキュリティシステムがハッカーによって悪用されている可能性があるとして、全てのiPhone及びiPadの利用者に対して、早急にオペレーティング・システム(OS)をアップデートするよう呼び掛けました。

サポートページで、Appleは3つの期間において、セキュリティー上の「脆弱性が悪用された可能性がある」としています。また「ユーザー保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。」と具体的な欠陥の内容については発表されていません。日本語で今回の件について分かりやすく解説してる記事も見つからなかったので、ここで簡単に説明します。

今回の問題は、いわゆる『エクスプロイトチェーン』と呼ばれるサイバー系の詐欺師達の間で近年よく使われている手口と関連しています。他社製品と比べてとても複雑なプログラミングが用いられている為、Apple社製品はかえってバグが見つかるごとにその問題点を見つけて完全に修復するまでの間にしばらくの時間がかかってしまいます。「完璧な"安全”は無い」とされる情報セキュリティにおいて、複数の脆弱性を組み合わせて、その『ゼロデイ (バグが発見された日から、それを解消するための解決策が確立されるまでの期間のこと)』の弱点を生かして特定のデバイスを攻撃する手法がエクスプロイトチェーンという手法です。

気づかれにくい、iOSを標的としたエクスプロイトチェーンの脅威

今回Appleは木曜日に、新しいOSのリリースへの追加という形でセキュリティに関するパッチを出しました。この2021年1月31日現在最新のiOS 14.4 および iPadOS 14.4のアップデートはそのセキュリティ問題に概ね対処したプログラムとなっているようです。またキーボードのラグや従来よりも小さいQRコードの読み取りを可能にするなどの他機能のアップデートも含まれています。

しかしながら、そのハッキングの全貌はまだ不透明なままで、Appleも具体的な内容についてはまだ公表できないのだと思います。「詳細については、後日公開する予定です。」とサポートページの最後にも書かれています。これではiPhoneを毎日使っている人からしたら少し不安ですよね。

Appleは『WebKit (Safariやその他のiOSブラウザ等で検索する際に利用されるソフトウェア)』から2つの問題が発見されたことを明らかにしています。サポートページにある「リモートの攻撃者によって任意のコードが実行される可能性がある。」というのは、Safariで何かを検索している最中、気づかぬうちに危険なリンクを押して、不正なコードが埋め込まれたウェブサイトにアクセスしてしまった際に、そのサイトまたはサイトに不正なコードをハッキングして埋め込んだ持ち主(ハッカー)が、ページを開いたiPhone又はiPadに不正に侵入してしまうことができる可能性があったということです。これらの問題点は少なくとも二人の匿名の研究者によって解決されシステム強化がiOS 14.4 および iPadOS 14.4のアップデートによって行われるそうです。

Appleのセキュリティーは競合他社と比較しても圧倒的に強いシステムが多いです。しかし常に完璧であるわけでは当然ありません。昨年には、Googleの研究者たちが、複数の有名なウェブサイトにおいて、利用者に気付かれることなくiPhoneに勝手に侵入することができる不正コードが埋め込まれていたことを発表して話題になりました。iOS13ではiPhoneに保存された連絡先がパスワード入力や指紋認証をしなくても閲覧・操作できるバグが発見されており、多数の問合せや報告があったにも関わらず、数ヶ月間、Appleはバグ修正のリリースを出来なかったことで、ゼロデイで多くのハッキング被害が発生しました。

Googleが「iPhoneの脆弱性を悪用するサイトが2年間にわたり個人情報を盗みまくってきた」と指摘

iOS13で連絡先の情報を不正入手できてしまうバグが発見されるiOS13で連絡先の情報を不正入手できてしまうバグが発見される

リゾートやエンターテインメント業界でセキュリティのコンサルティングのお仕事をさせていただく時に、iPhoneを利用している方の間でとても多く聞くのが、「新しいiOSにアップデートしちゃうと、逆にバグが出るんだよね。」という声です。実際に最新機種をお持ちでない方がiOSをアップデートしたら、「ネットが遅くなった」や「文字入力が出来なくなった」などという問題も実際に起こっています。最新の機種に合わせたシステムアップデートを行うことで、数世代前のiPhoneを使うユーザーが頻繁にデバイスを買い換えるように誘導しているのではと問題視され、過去には公正取引委員会などから厳重注意また罰金処分を受けたことがありました。

AppleとSamsung、不正なアップデートを提供したとして罰金処分

このような事例から、最近ではあまりiOSアップデートは通知が来ても自動では更新されないように設定しているという方も多いのではないでしょうか？しかし今回のアップデートでは、あなただけではない、家族や仕事関係の大切な個人情報やデータが盗み取られてしまう可能性をもつ、大きなセキュリティ上の欠陥が修復されています。この機会にぜひ、iOS 14.4 および iPadOS 14.4にアップデートされて、また今使われている周辺のデバイスのセキュリティ・チェックも、合わせてしてみてください。

参考
・CyberHoot,  (https://cyberhoot.com/cybrary/exploit-chain/)
・Zack Whittaker, "Apple says iOS.14.4 fixes three security bugs" Tech Crunch, 27 Jan. 2021, (https://techcrunch.com/2021/01/26/apple-says-ios-14-4-fixes-three-security-bugs-under-active-attack/).
・Samantha Murphy Kelly, "You should update your iPhone right now." CNN Business, 27 Jan. 2021, (https://edition.cnn.com/2021/01/26/tech/iphone-ipad-ios-14-4-update/index.html?utm_content=2021-01-31T12%3A00%3A07&utm_source=twCNN&utm_medium=social&utm_term=link).
・Donie O'Sullivan, "A flaw in iOS 13 can expose your contact details, even though Apple was alerted about the problem in July." CNN Business, 19 Sep. 2019, (https://edition.cnn.com/2019/09/19/tech/apple-ios13-vulnerability/index.html)
・logu_ii, "Googleが「iPhoneの脆弱性を悪用するサイトが2年間にわたり個人情報を盗みまくってきた」と指摘." Gigazine, 2 Sep. 2019, (https://gigazine.net/news/20190902-hacked-websites-iphones-google/)
・Zack Whittaker, "Malicious websites were used to secretly hack into iPhones for years, says Google." Tech Crunch, 30 Aug. 2019, (https://techcrunch.com/2019/08/29/google-iphone-secretly-hacked/)
・kihachi "iOS13で連絡先の情報を不正入手できてしまうバグが発見される." iPhone Mania, 13 Sep. 2019, (https://iphone-mania.jp/news-259828/)
・後藤大地 "AppleとSamsung、不正なアップデートを提供したとして罰金処分." マイナビニュース, 29 Oct 2019, (https://news.mynavi.jp/article/20181029-715206/)
・Apple サポートページ, 日本語 (https://support.apple.com/ja-jp/HT212146)
・Apple Support, English (https://support.apple.com/en-us/HT212146)
・KADOKAWA ASCII Research Laboratories, Inc., 日本語 (https://ascii.jp/elem/000/001/932/1932943/)
・LifeHacker, 日本語 (https://www.lifehacker.jp/2021/01/install-ios-ipados-14-4-today-to-block-three-big-vulner.html)