iPhoneのセキュリティ欠陥、数年にわたり存在か--「アップルの失態」と専門家指摘

　iPhoneユーザーがフィッシング攻撃を受けるリスクがあった問題が、長期間放置されていた可能性がある。現在は修正済みだが、もしかするとこの脆弱性は数年間存在していたかもしれない。

バグを発見した研究者は、脆弱性が「数か月ではなく、数年」にわたって存在していたと述べてた（Viva Tung/Patrick Holland/CNET）
※クリックすると拡大画像が見られます

　この脆弱性は、iOS 18で標準搭載された「パスワード」アプリの欠陥に起因するものだ。Appleはセキュリティ関連のページで、「特権的なネットワーク環境にいる攻撃者によって、機密情報が漏えいする可能性がある」と説明。Appleによると、この問題は情報の送信時にHTTPSを使用することで現在は修正されているという。

　このバグはセキュリティ研究者のMysk氏によって最初に発見され、2024年9月に報告されたが、その後数か月にわたり放置されていたようだ。Mysk氏のXへの投稿によれば、Appleは「パスワード」アプリの前身であるパスワードマネージャーの頃も「漏えいしたパスワードを検出する機能」の導入以降は、デフォルトで安全でないHTTPを使っていたという。

　「iPhoneユーザーは数か月ではなく、数年間フィッシング攻撃に対して脆弱だった。iOS 18に搭載された専用のPasswordsアプリは、もともと設定アプリに入っていたパスワードマネージャーを再パッケージしたものにすぎず、過去のバグもそのまま引き継いでいた」（Mysk氏）

　とはいえ、実際にこのバグによって被害を受ける可能性は非常に低いと考えられている。MacやiPad、Vision Proなど、ほかの製品に対するセキュリティアップデートでもこのバグは修正された。

　Myskが公開したYouTube動画のキャプションには、iOS 18のPasswordsアプリがデフォルトで安全でないHTTP経由でリンクを開き、アカウントアイコンをダウンロードしていたことが示されている。これによってネットワークアクセスを持つ攻撃者がリクエストを盗聴・リダイレクトして悪意あるサイトに誘導する可能性があったという。

　9to5Macによれば、特に攻撃者がユーザーと同じネットワーク（カフェや空港などの公共Wi-Fiなど）にいる状況でHTTPリクエストを傍受し、リダイレクトさせることで問題が生じるようだ。

　Appleはこの問題に関してコメントや追加情報を提供していない。

　Mysk氏によると、今回のバグを発見しても金銭的報酬（バウンティ）は得られなかったという。バグの影響範囲やカテゴリーが報奨金の対象外だったためだそうだ。

　「確かに、3兆ドル規模の企業にボランティアをしたような気分だ。金銭目的ではなかったが、Appleが独立系の研究者をどの程度評価しているかが分かる事例だ。2024年9月からずっとこれはバグだとAppleを説得しようとしていた。修正に至って本当によかったし、また同じことをするだろう」（Mysk氏）

専門家「決して小さなバグとは言い難い」

　ABI Researchのセキュリティアナリストを務めるGeorgia Cooke氏は、この問題を「小さなバグとは言い難い」と評している。

　「Appleにしては大きな失態だ」とCookeは述べる。「ユーザーにとっては基本的なセキュリティプロトコルの不備を示す脆弱性であり、限定的なスキルで可能な攻撃手法に長期間さらされていたのだから、懸念すべき問題だ」（Cooke氏）

　ただしCooke氏によれば、実際にこのバグに遭遇する人は少ないと考えられる。というのも、パスワードマネージャーでログイン情報を更新し、公衆ネットワーク上でその操作をし、かつリダイレクトの不自然さに気づかないといった特定の状況が必要になるからだ。とはいえ、こうした問題が起きる可能性がある以上、定期的なデバイスのアップデートがいかに重要かを再認識するきっかけになる。

　Cooke氏は、特に共有ネットワークを利用する際にはこうした脆弱性から身を守るための追加措置をとるべきだと付け加える。具体的には、デバイスの通信をVPN経由で行うことや、公衆Wi-Fiでは資格情報の変更など重要な操作を避けること、そしてパスワードの使い回しをしないことなどが推奨される。

Amazonで現在開催中のセールを見る