マイク・ピーターソン
· 2分で読めます
研究者らは、メールアプリにユーザー攻撃に悪用されるゼロデイ脆弱性を2件発見した。クレジット:ZecOps
セキュリティ研究者らは、iPhone および iPad のメール アプリに、実環境で発見され、攻撃者に悪用されている 2 つのゼロデイ脆弱性を発見しました。
サンフランシスコに拠点を置くサイバーセキュリティ企業ZecOpsは、顧客のデバイスで定期的なデジタルフォレンジック調査を実施していた際に、iOSおよびiPadOSのデフォルトメールアプリに2つの脆弱性を発見したと発表した。さらに調査を進めた結果、標的型攻撃の証拠を発見し、水曜日に報告書で概要を明らかにした。
これらの脆弱性により、攻撃者はiOS 12とiOS 13のそれぞれAppleのMobileMailプロセスとMailidプロセスを悪用し、特別に細工したメールを使ってリモートコードを実行できます。また、適切にトリガーされた場合、ユーザーはハッキングされていることに気付かない可能性があります。
研究者らによると、この脆弱性の亜種は少なくともiOS 6まで遡る。これらの脆弱性はAppleがパッチを公開する前にユーザーを攻撃するために利用されたため、ゼロデイ攻撃とみなされている。iOSのゼロデイ攻撃は非常に稀で、多くの場合、非常に高額な費用がかかるため、これは重要な意味を持つ。
これらの脆弱性自体は、ユーザーにとってそれほど大きなリスクをもたらすものではありません。攻撃者はメールを漏洩、改ざん、または削除できるだけです。しかし、パッチ適用が不可能なCheckm8エクスプロイトなどの他のカーネル攻撃と組み合わせると、悪意のある攻撃者が特定の標的デバイスにルートアクセスできるようになる可能性があります。
少なくとも1つの脆弱性は、ユーザーの操作なしにリモートで攻撃される可能性があり、「ゼロクリック」と呼ばれる攻撃です。ZecOpsは、2つ目の脆弱性はゼロクリックを悪用しようとした際に偶然発見された可能性が高いと付け加えました。iOS 13に影響を与える脆弱性はゼロクリックです。iOS 12の脆弱性はユーザーが実際にメールをタップする必要がありますが、攻撃者が自ら管理するメールサーバーからメッセージを送信する場合は、この要件は適用されません。
失敗した攻撃の例。成功した場合はエラーメッセージは表示されない。出典:ZecOps
ZecOpsの報告書によると、北米のフォーチュン500企業の従業員、ヨーロッパのジャーナリスト、ドイツのVIPなど、複数の顧客が標的にされたことが明らかになりました。興味深いことに、標的のデバイス上で脆弱性が悪用された形跡はあったものの、メール自体は存在していませんでした。これは、攻撃者が痕跡を隠すためにメールを削除したことを示唆しています。
研究者らは、攻撃者は第三者から攻撃を購入した国家のために活動していたと考えており、少なくとも1つの「ハッカー派遣」組織が電子メールを主な攻撃経路とするエクスプロイトを販売していたと付け加えた。
一方、マザーボードの取材に応じたセキュリティ研究者らは、この欠陥は他のハッキングに比べて比較的未熟であり、高度な技術を持つ攻撃者にとっては「高価値ターゲット」に対して使用するにはリスクが高すぎると判断される可能性が高いと述べた。
それでもZecOpsは、これらのエクスプロイトが公開されたため、攻撃頻度が増加する可能性が高いと指摘しています。研究者らは、攻撃者は「可能な限り多くのデバイスを攻撃する」ため、一般ユーザーも標的になる可能性があると述べています。さらに、追加の脆弱性にアクセスできるサイバー犯罪者がこれらのエクスプロイトを悪用した場合、状況はさらに危険になります。
これらの脆弱性はネイティブメールアプリにのみ影響し、サードパーティ製アプリには影響しません。攻撃を軽減するため、ZecOpsはパッチがリリースされるまでiOSおよびiPadOSのメールアプリの使用を中止することを推奨しています。macOSは影響を受けません。
ZecOpsは2月にAppleにこれらの脆弱性を警告したと述べている。これらの脆弱性はいずれもiOS 13の最新ベータ版で修正されており、次回のiOSアップデートであるiOS 13.4.5およびiPadOS 13.4.5で修正が提供される予定だ。
