Apple(アップル)は近く、新たに見つかったiPhoneの脆弱性をパッチするが、セキュリティの研究者たちによると、ハッカーはすでに被害者のデバイスからデータを盗んでいる。
その脆弱性のニュースは米国時間4月22日に、セキュリティ企業のZecOpsが報じた。同社のCEOであるZuk Avraham(ズク・アヴラハム)氏によると、バグを見つけたのは昨年で、日常的な調査をやってるときだった。彼によると、すでに2018年には少なくとも6社が被害に遭っているという。
アヴラハム氏によると、バグがあるのはiPhoneのデフォルトのメールアプリ「メール」の中だ。犯人は被害者のデバイスに特殊な工作をしたメールを送ってデバイスのメモリーを侵略し、リモートで悪質なコードを動かしてデバイスのデータを盗む。さらにまずいことに、iOS 13の最新バージョンの上ではそのバグは、ユーザーとの対話をまったく必要としない。
そのバグはiOS 6から存在し、最初にリリースされたのは2012年。同氏はその後のツイートで、同じく内蔵の「メール」アプリのあるmacOSには、同様の脆弱性がないと述べている。
iPhoneの脆弱性は見つけるのが極めて難しいので高値がつく。バイヤーが100万ドルで買ったバグもある。でも、そういう高度で価値のあるバグは、リソースに十分恵まれたセキュリティ関係者、特に政府が見つけることが多い。政府関係者は脆弱性を利用した犯行を、犯罪者やテロリストの捜査に使うことが多い。しかし一部の政府が、特定の民族や活動家やジャーナリストなどをターゲットにすることもある。
同氏のブログ記事によると、今回の被害者の中には米国のFortune 500社や、ヨーロッパのジャーナリストもいる。彼はハッカーの名前を挙げないが犯人の中には国家もいると語っている。
TechCrunchの問い合わせに対してアップルのスポークスパーソンは何も言わなかった。記事を最初に報じたMotherboardは、そのバグはソフトウェアのベータバージョンでは直っており、次のアップデートで一般ユーザーに提供されるそうだ。
それまでは、高いリスクを抱えるユーザーは「メール」アプリを無効にしておくべきだ。
関連記事:iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)