【注意喚起】iOS標準メール、『受信しただけ』で被害の恐れ。メール受信設定の一時無効化を推奨
https://www.lac.co.jp/lacwatch/alert/20200424_002178.html
iPhoneやiPadに搭載されている標準メールアプリにおいて、メールを受信しただけで保存されているメールが漏洩したり、意図しないコードが実行されたりする脆弱性の存在が公表されました。
米国のセキュリティ企業ZecOps社が2020年4月22日(現地時間)にブログで発表した情報によると、最新のiOS(13.4.1)を含むiOS6以降のすべてのバージョンに脆弱性が存在し、この脆弱性が悪用されるとメール内容の漏洩、改ざん、削除が行われる恐れがあります。また、確認されていませんが、他の脆弱性と組み合わせることでデバイスが乗っ取られる可能性があります。
悪用された際の挙動はiOSのバージョンごとに異なり、 特にiOS13(13.4.1)ではバックグラウンドでメールを受信しただけでも攻撃が成功するため、「0-click(ゼロクリック)」とも呼ばれています。iOS12では、ユーザが不正なメールをクリックすることによってメールアプリがクラッシュする、iPhoneやiPadの全体の動作が遅くなるなどの影響が現れます。
すでに日本を含む複数の企業や個人に対する脆弱性の悪用が確認されており、今回の発表により同種の攻撃が増える可能性が考えられます。
iPhoneとiPadのメールアプリに脆弱性〜iOS13.4.5で修正
https://iphone-mania.jp/news-284858/
iOS13/iPadOS13の純正メールアプリに、2つの深刻な脆弱性が見つかりました。次のOSアップデートで対処される見通しです。
2つの深刻な脆弱性
脆弱性を発見したセキュリティグループZecOpsによると、脆弱性のひとつは、遠隔でのゼロクリック・エクスプロイト(ユーザーが全く操作しない状態での攻撃)を可能にするものです。
また、2つのうちのより深刻な脆弱性は、最新の正式版であるiOS/iPadOS13.4.1をインストールしたデバイスにも影響します。
ゼロクリック・エクスプロイトが可能に
このゼロクリック・エクスプロイトを仕掛けられると、ユーザーが純正のiOSメールアプリを開いただけで感染してしまいます。攻撃者はメールを送信するだけでiPhoneやiPadを感染させ、膨大なメモリ容量を消費することが可能とのことです。
また攻撃者はメールを送信、攻撃に成功すると、証拠となるメールを削除している可能性があるようです。
ZacOpsは調査の結果、この脆弱性を突いた攻撃はかなり広範囲に広がっている可能性が高いと結論付けています。
なお今回問題になっている脆弱性は、2012年9月にリリースされたiOS6から存在していると、ZacOpsは指摘しています。
iOS13.4.5で脆弱性が修正
Appleは最新のiOS13.4.5ベータで脆弱性を修正しており、正式版は数週間以内にリリースされる見通しです。このアップデートがリリースされるまではAppleの純正メールアプリは使わず、GmailやOutlookなどサードパーティー製のメールアプリを使うよう、ZacOpsは推奨しています。
iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能
~すでにゼロディ攻撃に使われた形跡あり
https://pc.watch.impress.co.jp/docs/news/1248996.html
・・・
同社は定期的にiOSのセキュリティについて調査を行なっているが、北米フォーチュン500企業の個人、日本のキャリアの幹部、ドイツのVIP、サウジアラビアとイスラエルのMSSP、ヨーロッパのジャーナリスト、スイス企業の幹部といった人物をターゲットに、この脆弱性に対する複数のトリガーを長期的にわたって検出できたという。
・・・
やばい感じの脆弱性ですね。要注意です。ところで、iOS関係で、以下のセキュリティ情報も。
中国国営ハッカー集団、iOS脆弱性を悪用してウイグル自治区のイスラム教徒を監視した疑い
https://japanese.engadget.com/jp-2020-04-23-ios.html
iOS 12の特定バージョンにセキュリティ上の脆弱性が発見され、それが新疆ウイグル自治区のイスラム教徒を監視する目的で、中国政府が背後にあるハッカーグループに悪用されていたと報じられています。セキュリティ企業Volexityが「Insomnia(不眠症)」と名付けた脆弱性は、iOS 12.3/12.3.1/12.3.2に存在しているものです。脆弱性自体はすでにアップルは2019年7月にリリースしたiOS 12.4にて封じているとのこと。
とはいえ一部のiOSをアップデートしていないユーザーは、攻撃される可能性に晒され続けたわけです。
Volexityの報告によれば、このInsomniaは2020年1月~3月に同社が「Evil Eye」(悪の眼差し)と名付けて追跡しているハッカー集団により使われたとのこと。Evile Eyeは中国政府の要請で活動し、新疆ウイグル自治区のイスラム教徒を監視する、国営のハッカー集団と目されています。
その具体的な仕組みは、ウイグルをテーマにしたWebサイトにInsomniaが仕込まれ、そこにアクセスしたiOSデバイスに作用。そして攻撃者にルートのアクセス権限(システム管理者用のアカウントに付与された、ほぼ全ての操作が可能な強力な権限)を与えるという具合です。
Evil Eyeはそれを利用し、様々なインスタントメッセージングからの平文メッセージや電子メール、写真や連絡先リスト、およびGPSの位置データを盗んだと報告されています。
またこのInsomnia脆弱性自体、やはり以前ウイグル自治区のイスラム教徒を標的にしていたハッキングサイトで用いられた脆弱性を元にして、それを拡張したものと分析されています。
新たに監視対象に加えられたのは、電子メールのProtonMailとメッセージングのSignal。これらは強固なエンドツーエンド暗号化を行うことで知られる2つのアプリです。前者は電子メール、後者は画像が狙われたとされています。
Volexityいわく、それはウイグル族が通信が潜在的に監視されていると認識しており、監視を避けるために強力なセキュリティ機能のあるアプリを使用している事態を示唆しているかもしれないとのこと。
そうした自衛手段に対して、さらに監視が強められている可能性があるわけです。
このInsomnia脆弱性はWebkit、つまりiOS用のWebブラウザがすべて利用しているエンジンを利用しているため、どのブラウザーにも作用する可能性があるとのことです。実際、Volexityの調査チームはiOS 12.3.1を実行しているデバイスにつき、SafariやChrome、およびMicrosoftのEdgeを介して成功(ルート権限の乗っ取り)を確認できたと報告しています。
これはすなわち新疆ウイグル自治区の外にいる人であれ、iPhoneでウイグル関連情報のサイトにアクセスすれば脆弱性を突かれて被害に遭うかもしれないことを意味しています。ハッキングされることを望まないユーザーは、iOS 12.4以降にアップデートするようお勧めします。
日本は海外よりもiPhoneの普及率が高いですからね。ターゲットにされやすいかもしれません。
要注意です。