「iOS 8」に脆弱性--クラッシュや無限再起動のおそれ

　「iPhone」や「iPad」のユーザーが実際に体験した可能性は極めて低いものの、「iOS」アプリがDoS（サービス妨害）攻撃によってクラッシュするおそれがあることが、モバイルデバイスセキュリティ企業のSkycureの調べで明らかになった。同社は、セキュリティイベント「RSA Conference 2015」でこの攻撃を実演し、重大なセキュリティリスクとして説明した。さらに悪いことに、この攻撃を受けると、iPhoneがいつまでも再起動を繰り返すおそれがあるという。

　Skycureでは、攻撃を試みる者に正確な手法を伝えるのを避けるためとして、この攻撃に関する詳細な技術情報の公開を最小限にとどめている。同社は現在、Appleと連携して、「iOS 8」に存在するこの脆弱性の解消に取り組んでいるという。

　このDoS攻撃を実際に行うには、Wi-Fiルーターを「特定の設定」にしておく必要があると、Skycureはブログ記事で説明している。DoS攻撃を仕掛けようとする攻撃者は、特別に作成したSSL証明書を使用し、iOS 8とiOS 8上のアプリに存在するとされるこのバグを悪用するスクリプトを実行しなければならない。

　「われわれは早速、この調査結果を受けて、ネットワークインターフェース経由でこのバグを悪用するスクリプトを作成してみた。SSLはセキュリティのベストプラクティスであり、Appleの「App Store」にあるほとんどすべてのアプリで利用されているため、攻撃範囲はきわめて広い。この脆弱性へのパッチの適用が遅れた場合、ビジネスに重大な影響をもたらす可能性があることは、われわれも承知している。組織的なDoS攻撃は、大きな損失につながるおそれがあるからだ」

　このバグを悪用できるよう設定されたWi-FiルーターにiPhoneまたはiPadが接続すると、SSL通信を利用する任意のiOSアプリが即座にクラッシュし、そのPhoneまたはiPadが利用できなくなる。また、Skycureによれば、ユーザーは問題のWi-Fiネットワークから切断することさえできなくなるとのことで、同社ではこの脆弱性を用いて、iPhoneを無限に再起動を繰り返す状態に陥らせる様子を実演している。