マイキー・キャンベル
· 1分で読めます
アップルは木曜日、iOS 向けメールアプリにゼロデイ脆弱性が 2 件発見されたとの報道に対し、未修正の欠陥は直ちにユーザーに脅威を与えるものではないと回答した。
セキュリティ企業ZecOpsは水曜日、これまで知られていなかった2つのメールの脆弱性を発見したとする報告書を発表した。この脆弱性が悪用されると、攻撃者がユーザーの電子メールにリモートアクセスし、変更または削除できるようになる。
ZecOpsが詳述しているように、攻撃者は特別に細工したメールを送信することでiOSのバグを悪用し、障害を引き起こし、リモートコードを実行できるようになります。iOS 12ではユーザーが悪意のあるメールをクリックする必要がありますが、iOS 13ではメールアプリをバックグラウンドで開くことで、ゼロクリック、つまりアシストなしで攻撃が可能になります。
iOS 6から存在していたこの脆弱性は、フォーチュン500企業の社員、日本の幹部、ドイツのVIP、サウジアラビアとイスラエルのマネージドセキュリティサービスプロバイダー、欧州のジャーナリストなどを対象とした攻撃で実際に悪用されたとZecOpsは述べた。
アップルは木曜日、ブルームバーグのマーク・ガーマン記者への声明で事態の深刻さを否定した。ガーマン記者はその後、同社の公式回答をツイートで共有した。
Appleは、セキュリティ脅威に関するすべての報告を真摯に受け止めています。研究者の報告を徹底的に調査し、提供された情報に基づき、これらの問題はユーザーに直ちにリスクをもたらすものではないと結論付けました。研究者はメールアプリに3つの脆弱性を特定しましたが、それだけではiPhoneおよびiPadのセキュリティ保護を回避するには不十分であり、これらの脆弱性がお客様に対して悪用された証拠は見つかりませんでした。
Appleはさらに、iOSの安全性向上に貢献する独立したセキュリティ研究者からの意見を重視しており、今後は脆弱性を発見した研究者をクレジットすると述べました。同社は通常、ソフトウェアリリースごとにセキュリティアップデートを発行し、修正されたバグの詳細と、それらを発見したセキュリティ研究者または研究グループを明記しています。
ZecOpsによると、Appleの最新のiOS 13.4.5ベータリリースでは、報告された脆弱性が修正されている。
