iPhoneユーザーに2つのゼロデイ脆弱性修正のアップデートを強く推奨

Appleは今週、macOS、iPhone、iPadユーザーに対し、現在進行中の攻撃を受けている2つのゼロデイ脆弱性を修正するアップデートを直ちにインストールするよう強く呼びかけています。これらのパッチは、攻撃者が任意のコードを実行し、最終的にデバイスを乗っ取ることを可能にする脆弱性に対応しています。

影響を受けるデバイス向けには、iOS 15.6.1 および macOS Monterey 12.5.1 用のパッチが提供されています。Appleが水曜日に公開したセキュリティアップデートによると、これらのパッチは2つの脆弱性に対応しており、基本的にiOS 15またはMontereyバージョンのデスクトップOSを実行できるすべてのAppleデバイスに影響します。

1つ目の脆弱性はカーネルのバグ（CVE-2022-32894）で、iOSとmacOSの両方に存在します。Appleによると、これは「境界外書き込みの問題であり、境界チェックの強化によって対処されました」とのことです。

この脆弱性により、アプリケーションがカーネル権限で任意のコードを実行できるようになるとAppleは説明しており、同社はいつものように曖昧な表現で「実際に悪用された可能性があるという報告がある」と述べています。

2つ目の脆弱性はWebKitのバグ（CVE-2022-32893として追跡）で、こちらも境界外書き込みの問題であり、Appleは境界チェックの強化によって対処しました。この脆弱性により、悪意のあるWebコンテンツを処理することでコード実行が可能となり、Appleによればすでに積極的に悪用されていると報告されています。WebKitはSafariおよびiOS上で動作するすべてのサードパーティブラウザのエンジンです。

Pegasusのようなシナリオ

これら2つの脆弱性の発見は、Appleの発表以外にはほとんど詳細が明らかになっていませんが、匿名の研究者にクレジットされています。

ある専門家は、今回のAppleの脆弱性について「攻撃者にデバイスへの完全なアクセスを与える可能性がある」と懸念を表明し、Pegasusのようなシナリオ、つまり国家レベルのAPTがiPhoneの脆弱性を悪用してイスラエルのNSOグループ製スパイウェアで標的を攻撃したケースと同様の事態を引き起こす可能性があると指摘しました。

「ほとんどの方は本日中にソフトウェアをアップデートしてください」とSocialProof SecurityのCEOであるRachel Tobac氏は、ゼロデイ脆弱性についてツイートしています。「脅威モデルが高い方（ジャーナリスト、活動家、国家による標的など）は、今すぐアップデートしてください」とTobac氏は警告しています。

ゼロデイの多発

これらの脆弱性は、今週GoogleがChromeブラウザ向けに今年5件目となるゼロデイ（任意コード実行バグで、すでに攻撃が行われている）を修正したというニュースと同時に明らかになりました。

大手テックベンダーが脅威アクターによる攻撃にさらされ、さらなる脆弱性が発見されているというニュースは、トップクラスのテック企業がソフトウェアの恒常的なセキュリティ問題に対処するため最善を尽くしているにもかかわらず、その戦いが依然として困難であることを示していますと、ノルウェーのアプリセキュリティ企業Promonのシニアテクニカルディレクター、Andrew Whaley氏は指摘しています。

iOSの脆弱性は特に懸念されるものであり、iPhoneの普及率の高さや、ユーザーが日常生活でモバイルデバイスに完全に依存していることが背景にあると彼は述べています。しかし、これらのデバイスを守る責任はベンダーだけでなく、ユーザー自身も既存の脅威についてより認識を高める必要があるとWhaley氏は指摘します。

「私たちは皆モバイルデバイスに依存していますが、それらは無敵ではありません。ユーザーとして、デスクトップOSと同じように警戒を怠らないことが必要です」と彼はThreatpostへのメールで述べています。

同時に、iPhoneやその他のモバイルデバイス向けアプリの開発者も、頻繁に発生するOSの脆弱性を考慮し、OSのセキュリティだけに頼らず、技術に追加のセキュリティコントロールを組み込むべきだとWhaley氏は指摘します。

「私たちの経験では、これが十分に行われていないため、銀行やその他の顧客が脆弱なままになっている可能性があります」と彼は述べています。