Googleのセキュリティチーム「Project Zero」の研究者らは、複数のウェブサイトがハッキングされて、長年にわたって訪問者の「iPhone」にマルウェアを忍び込ませていたことを発見したと発表した。そうしたサイトを訪問したユーザーは、メッセージ、写真、位置データを読み取られていた可能性があるという。同チームは、2019年に入ってこの発見内容をAppleに報告済みで、この脆弱性は「iOS 12.1.4」で修正されたという。
「攻撃は無差別だった。ハッキングされたサイトを訪問するだけで、エクスプロイトサーバーはそのユーザーの端末を攻撃することができ、それに成功すると、監視プログラムをインストールする。それらのサイトには毎週数千人の訪問者がいると推定される」と、Project ZeroのIan Beer氏は、同チームの発見内容を詳しく説明する米国時間8月29日付けのブログ記事に記している。
iPhoneは、概してセキュリティの高い端末とみなされており、この攻撃は、その脆弱性が露呈されたまれなケースといえる。iPhoneの攻撃は難しい場合が多く、通常は国家間の諜報活動に限定されている。膨大な数の端末をたった一回の訪問で攻撃できた、このハッキング活動の背後にいる組織は不明だが、TechCrunchはこの件に詳しい人物らの話として、これらのウェブサイトは中国とみられる国家が支援する攻撃の一環であり、ウイグル人を標的とするものだと報じている。
このハッキング活動は、1つの脆弱性を利用するものではない。Googleのチームによると、5つの個別のエクスプロイトチェーンにわたる14件のゼロデイ脆弱性が利用されていたという。それらの脆弱性は、「iOS 10」から最新バージョンである「iOS 12」にまで及んでいる。つまり、ハッカーらは少なくとも2年間にわたって、iPhoneユーザーを標的にしていたことになる。Googleは2019年2月にこの脆弱性をAppleに報告し、Appleはそれから1週間以内にパッチを発行した。
このハッキングによって、攻撃者は犠牲者のiPhoneの完全な制御を奪い、悪質なアプリをインストールしたり、リアルタイムの位置データを取得したり、写真やメッセージを暗号化されていたとしても盗み取ることができた。このマルウェアは深いレベルまでアクセスするため、メッセージの内容を暗号化される前に取得することさえ可能だったと、Googleの研究者らは述べた。インストールされたプログラムは、端末のキーチェーンにアクセスすることができた。キーチェーンには、「WhatsApp」「Telegram」「iMessage」といったエンドツーエンドの暗号化メッセージアプリによって使用されるパスワードやデータベースファイルが含まれている。
この攻撃では、ユーザーの個人情報を盗み取り、そのデータを暗号化なしで送信していた。つまり、同じWi-Fiネットワークを利用する人ならば誰でも、盗まれたコンテンツのすべてを見ることができたということだ。
Appleはコメントを避けた。この脆弱性による被害を防ぐために、所有するiPhoneを完全にアップデートしておくことを強く推奨する。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果