Appleは、個人ユーザーを標的とした高度なサイバー攻撃に対抗するため、メモリ破損の脆弱性を防ぐ包括的なセキュリティシステム「Memory Integrity Enforcement(MIE)」を発表しました。これは5年にわたるエンジニアリングの成果です。
この技術は、Appleの新しいiPhone 17およびiPhone Airデバイス、さらにA19およびA19 Proチップに組み込まれています。Appleが「業界初の常時オンのメモリ安全保護」と表現するこの仕組みは、カスタム設計のハードウェアとOSの変更を組み合わせて実現されています。Appleのセキュリティ研究者によると、このシステムは主に一般的な消費者向けマルウェアではなく、いわゆる「傭兵型スパイウェア」による高度な攻撃から防御するために設計されています。
「過去3年間に発生した非常に高度な傭兵型スパイウェア攻撃に対してMemory Integrity Enforcementを評価した結果、MIEはエクスプロイトチェーンの開発・維持を著しく高コストかつ困難にし、過去25年間で最も効果的だった多くの攻撃手法を妨害し、Apple製品のメモリ安全性の状況を完全に再定義するものだと考えています」と、同社は火曜日に投稿したブログで述べています。「MIEは、当社デバイス上で攻撃者がメモリ破損の脆弱性を悪用する能力を劇的に低減するため、消費者向けOSの歴史において最も重要なメモリ安全性のアップグレードだと考えています。」
メモリ破損の脆弱性は、長年にわたりOSセキュリティに対する最も広範な脅威の一つとなってきました。これらの欠陥は、ソフトウェアがメモリへの読み書きを適切に制御できない場合に発生し、攻撃者が本来アクセスできないコンピュータのメモリ領域を変更、上書き、またはアクセスできるようになります。
これらの脆弱性を標的としたエクスプロイト、特にバッファオーバーフローやUse-After-Freeエラーは、スパイウェアを支える高度で数百万ドル規模のエクスプロイトチェーンの基盤となっています。攻撃者は、しばしば「ゼロクリック」(ユーザー操作不要)の状況でこれらの欠陥を悪用し、有害なコードを実行したり、データを盗んだり、システムをクラッシュさせたりします。例えば、NSOグループのPegasusスパイウェアは、3つのメモリ破損の脆弱性を連鎖させて動作していました。
これを踏まえ、Appleは過去5年間にわたり「大規模な」メモリ安全性への取り組みを拡大しました。同社はチップ設計者Armと密接に協力し、メモリ使用のたびに即座にメモリチェックを行う保護システムを改良しました。これにより、攻撃者にとっての隙間が生じる遅延を排除しました。この取り組みは、Appleの新システムの重要な要素であるEnhanced Memory Tagging Extension(EMTE)の開発につながりました。
EMTEは、各メモリ領域に特別な秘密のタグを付与することで動作します。デバイスが特定のメモリ領域を使用しようとするたびに、ハードウェアがそのタグを確認し、正しいかどうかをチェックします。タグが期待通りでない場合、デバイスは直ちにプログラムを停止し、事象を記録します。すべてのメモリブロックに固有のタグを持たせ、メモリ再利用時にはタグを変更することで、Appleのシステムは不正アクセスの試みを事前に阻止します。
「Appleはこの問題領域を深く理解しており、ハードウェア(Apple Silicon)とソフトウェア(iOS)の両方を自社で制御しているため、密接に統合された非常に効果的なセキュリティメカニズムを設計できる独自の立場にあります」と、Appleセキュリティを専門とするDoubleYouの共同創業者兼CEO、Patrick Wardle氏は述べています。「このようなアプローチは、チップとOSの密接な連携に依存しているため、他の多くのベンダーは両方を所有していないことから、容易には再現できません。」
同社はブログ記事で、このシステムがAppleデバイス上でスパイウェアの実行能力を完全に排除するものではないと認めていますが、攻撃がスパイウェアを実行したり、デバイスが侵害された場合にアクセスを維持したりすることを極めて困難にすると述べています。
「完璧なセキュリティというものは存在しませんが、MIEは攻撃者とその攻撃の自由度を劇的に制限するよう設計されています」とブログ記事には記されています。
この取り組みは、MicrosoftがWindows 11で導入しているメモリ整合性機能や、GoogleがPixelデバイスで採用している同様のシステムとも共通しています。
Access Nowの上級テクノロジー法務顧問Natalia Krapiva氏はCyberScoopに対し、「大手テック企業がスパイウェア開発者を阻止する方法を生み出すのは常に“イタチごっこ”ですが、Appleが効果的な対策を講じているのは素晴らしいことだと思います」と述べました。
「これらのスパイウェア開発者は、人々を標的にする新たな方法や検知回避などを常に模索しています」とKrapiva氏はCyberScoopに語りました。「Appleがリスクの高いユーザーを守る新しい方法を打ち出したのは素晴らしいことです。」
Krapiva氏が唯一指摘した欠点は、このシステムが新しいデバイスでしか利用できない点です。AccessNowは、しばしばスパイウェアの標的となる、消費者が使うよりも数世代古いデバイスを利用するグループとも国際的に連携しています。
「私たちのコミュニティの多くは、草の根の独立系メディアなどです。新しいデバイス、特にApple製品を購入するのは非常に困難です」とKrapiva氏はCyberScoopに語りました。「Appleがこのようなグループにもアクセスできるようなプログラムを用意してくれると素晴らしいと思います。」
MIEは、ソーシャルメディアやメッセージングアプリを含むサードパーティアプリケーションでも活用できます。また、EMTEは今年初めにリリースされた強化セキュリティ機能の一部として、Appleの開発者ツールキットXcodeを通じてすべてのApple開発者が利用可能です。
翻訳元: https://cyberscoop.com/apple-memory-integrity-enforcement-iphone-ios-anti-spyware/