
iPhoneを使う上で、写真やファイルをその場で渡せるAirDropはよく使う機能です。そのAirDropに新たな脆弱性が見つかり、近くにいる第三者がAirDropや関連する連係機能を一時的に止められることが海外メディアの報道で分かりました。結論から言うと、AirDropの受信を「連絡先のみ」に切り替え、iPhoneを最新のiOSに更新しておけば、今回のリスクは大きく下げられます。データが盗まれる問題ではない理由と、設定の見直し方までを整理します。
AirDropの脆弱性で何が起きるのか
研究機関CISPA Helmholtz Center for Information Securityの研究チームが、AirDropの通信の仕組みを解析し、3件の脆弱性を確認したと海外メディアが伝えています。共通するのは、近くにいる第三者がAirDropを担うバックグラウンドサービス「sharingd」をクラッシュさせられるという点です。
厄介なのは、このsharingdの守備範囲の広さです。AirDropだけでなく、AirPlayやHandoff、ユニバーサルクリップボード、連係カメラ、NameDropもまとめて支えているため、sharingdが一度落ちると、これらの連係機能が一斉に使えなくなります。iPhoneとMacを行き来するコピー&ペースト(ユニバーサルクリップボード)や、作業の引き継ぎ(Handoff)が、そろって止まるイメージです。
手口は大きく3種類あります。
- 想定外のリクエストを受け取っただけで処理全体が止まるもの
- 深く入れ子にした特殊なデータ(約200層)でメモリの処理領域を使い切らせるもの
- 不正なヘッダーでシステムの通信処理を落とすもの
攻撃者が約2秒ごとに不正なデータを送り続けると、その間はAirDropが使えない状態が続くとされています。
AirDropの脆弱性でデータは盗まれるのか
気になる点は、被害の中身です。今回の脆弱性で、ファイルやデータが盗まれる仕組みは確認されていません。研究チームは、ファイルを盗む方法も、Appleのセキュリティ保護を回避する方法も、任意のコードを実行させる方法も見つけていないと説明しています。
起きるのは「一時的に機能が使えなくなる」ことに限られます。攻撃が続く間だけAirDropや連係機能が止まり、相手がやめればサービスは自動的に立ち上がり直します。裏を返せば、被害は使い勝手の低下にとどまり、アカウントや保存データには及びません。日常的な使い方をしている限り、多くの人が当てはまる条件ではないとも指摘されています。
なぜタップしなくても成立するのか
攻撃の成立には、いくつかの条件がそろう必要があります。攻撃者はWi-Fiを備えたノートパソコンを用意し、標的の約10メートル〜30メートルの範囲内にいることが前提です。事前のペアリングや連絡先の登録、同じWi-Fiネットワークへの接続はいりません。
そして、受信設定が分かれ目になります。AirDropの受信を「すべての人」にしている端末では、ファイルの受信確認が表示される前の段階で通信への応答が始まります。つまり、画面を一度もタップしていなくても影響を受ける可能性があり、そこが「気づかないうちに」という不安につながります。
背景にあるのは、近接共有ならではの事情です。相手が誰かを確かめる前に届いたデータを処理しなければならず、認証前にさらされる範囲が広くなりがちだと研究者は指摘します。研究チームは、現行に近い複数のバージョン(macOS 15.7.4、macOS 26.3、iOS18系、iOS26.3)で再現に成功した一方、より古いiOS16では確認していません。設定の見直しは、バージョンを問わず済ませておきたいところです。
iPhoneのAirDropを安全に使う設定
危険度を左右するのは、受信設定と、アップデートを適用しているかどうかの2点です。どちらも短時間で確認でき、いったん整えておけば普段は意識せずに済みます。
受信を「連絡先のみ」にする
いちばん手軽で効果が大きいのが、受信範囲の見直しです。コントロールセンターや、設定アプリの「一般」内にあるAirDrop項目から、「連絡先のみ」に切り替えるか、使っていないときはオフにしておけば、攻撃が成立する「すべての人」という条件から外れます。ファイルを受け取るときだけ一時的に「すべての人」に戻す運用にすれば、利便性はほとんど損なわれません。満員電車や空港、イベント会場のように人が密集する場所ほど、この一手間が効いてきます。
iPhoneを最新のiOSに更新する
設定の見直しと併せて済ませたいのが、ソフトウェアのアップデートです。Appleは6月29日にiOS26.5.2とmacOS 26.5.2を配信しました。同社は3件のうち1件をすでに修正し、共通脆弱性識別子(CVE)を割り当てたとしていますが、詳しいアドバイザリやCVE番号はまだ公開しておらず、残る2件も調整が続いているとみられます。どのアップデートにどの修正が含まれるか分からない以上、配信されたものは早めに適用しておくのが確実です。
AirDropの便利さと安全性をどう両立するか
今回の指摘は、近接共有という仕組みが「相手を確かめる前に処理する」という構造的な弱点を抱えていることを、あらためて浮き彫りにしました。研究チームも、シームレスな体験を優先する設計ほど、認証前に触れられる範囲が広がりやすいと分析しています。便利さの代償として、入り口が広く開いているのです。
見過ごせないのが、Android連携との兼ね合いです。一部のAndroid端末で、Quick ShareがAirDropとの相互運用に対応し始めています。ただし機能するのは、iPhone側を「すべての人」に設定したときだけです。問題となる設定とちょうど重なるため、他機種とのやり取りを優先するか、安全側に寄せるかを、ユーザー自身が選ぶ場面は増えていきそうです。
現時点で、悪用されたという公開報告は出ていません。過度に身構える必要はありませんが、受信設定を「連絡先のみ」に、iPhoneを最新のiOSにしておきましょう。この2つを今日のうちに確認しておけば、これからも安心してAirDropの手軽さを使い続けられます。
Photo:AppleInsider
- Original:https://iphone-mania.jp/apple-603081/
- Source:iPhone Mania
- Author:Yutel_06