新たな科学捜査証拠によると、iMessage の画像処理と共有のバグに関連する稀な iPhone のクラッシュは、標的型スパイウェア攻撃の最初の兆候だった可能性があるが、Apple は懐疑的だ。
iOSで新たに発見されたiMessageのバグ(現在は修正済み)により、一部のiPhoneユーザーが密室監視の標的となった可能性がある。セキュリティ企業iVerifyによって発見されたこの脆弱性は、iPhoneのメッセージアプリにおけるニックネーム更新の処理方法に影響を与えていた。
セキュリティ研究者らは、ジャーナリスト、政府関係者、IT企業幹部のデバイスで、この脆弱性が悪用される可能性のある兆候を発見したと述べている。しかし、Appleは、このバグが悪用されたことを強く否定している。
研究者が「ニックネーム」と名付けたこの脆弱性は、iOS 18.3でひっそりと修正されました。
ニックネームの脆弱性がもたらしたもの
この問題は「名前と写真を共有」機能に関連していました。この機能により、ユーザーは他のユーザーにメッセージを送信する際に、好みの名前、プロフィール写真、壁紙を送信できるようになります。
iVerifyによると、iOSがこれらのニックネーム更新を処理する方法に欠陥があり、メッセージアプリをリモートでクラッシュさせることが可能だった。攻撃者は、特定のタイミングでニックネーム変更の連続送信を行い、「imagent」と呼ばれるシステムプロセスでメモリエラーを引き起こすことが可能だった。
この種の欠陥は、より深刻な攻撃の起点として利用される可能性があります。ユーザーによる操作は必要ありませんでした。
iOS 17.6.1で発生したクラッシュの一部(一部デコード済み)。他の画像関連の問題と類似している。画像クレジット:iVerify
そのため、この種の脆弱性はゼロクリックと呼ばれます。潜在的な攻撃者が必要とするのは、標的の電話番号とApple IDだけです。
標的にされた可能性の証拠
iVerifyは2024年4月から2025年1月にかけて、約5万台のiOSデバイスのクラッシュログを分析しました。ニックネームバグに関連するクラッシュの種類は非常にまれでした。
この問題は、調査対象となったデバイスの0.002%未満に発生し、リスクプロファイルが高い人が使用する携帯電話にのみ発生しました。
欧州連合(EU)の高官1人が、この脆弱性に一致するクラッシュを経験し、約1か月後にAppleから脅威の通知を受け取りました。別のデバイスでは、クラッシュからわずか20秒後にファイルが削除された兆候が見られました。
iVerifyの研究者によると、このパターンは過去のスパイウェア攻撃で観測されたものと類似しているという。チームはマルウェアやインプラントを発見しなかった。このバグは、より大規模なエクスプロイトチェーンの一部として利用された可能性があると、研究者らは中程度の確信を持っていると述べている。
アップルは懐疑的な反応
AppleはiVerifyの結論に異議を唱えています。Appleセキュリティエンジニアリング責任者のイヴァン・クルスティック氏は、 Axiosへの声明で、今回の攻撃が標的型攻撃だったという主張には強く異議を唱えると述べました。Appleは、今回のクラッシュはiOS 18.3で修正された従来のソフトウェアバグに起因すると考えています。
クリスティッチ氏はさらに、Appleはこのバグが現実世界の攻撃で悪用されたという信頼できる証拠は確認していないと付け加えた。また、iVerifyはスパイウェアがインストールされたという技術的な証拠を提供していないとも述べた。
iOS 17.7のメッセージシステムから取得された未処理のクラッシュデータ。画像提供:iVerify
これは解釈に大きな違いがあります。iVerify社はクラッシュログとデバイスのアクティビティパターンに依拠しています。Appleは、これらの調査結果は実際の攻撃を裏付けるには不十分だと主張しています。
Nicknameレポートは、マルウェアが確認されていなくても、強力なメッセージング機能が新たなリスクを生み出す可能性があることを示唆しています。また、ユーザーとのやり取りを必要としない目に見えない攻撃からユーザーを保護することの難しさも浮き彫りにしています。
Apple iMessageはすでにBlastDoorなどの高度なセキュリティ機能を使用して受信データをスクリーニングしています。しかし、このレポートでは、執念深い攻撃者がこれらの防御を回避する方法を見つけ続けていることが示されています。
ユーザーにとっての教訓はシンプルです。デバイスを常に最新の状態に保ち、身に覚えのないメッセージには注意し、機密性の高い分野で働いている場合は追加の保護対策を検討してください。
安全を保つ方法
Nicknameのような脆弱性によるリスクを軽減するには、iPhoneを常に最新の状態に保つことが最も重要です。iOSのアップデートがリリースされたら、すぐにインストールしてください。
また、「設定」の「一般」と「ソフトウェア アップデート」で自動更新をオンにしておけば、覚えていなくても保護された状態を保つことができます。
ジャーナリズム、政府、活動家、サイバーセキュリティなど、リスクの高い分野で働いている場合は、ロックダウンモードを有効にすることを検討してください。この設定により、特定のメッセージとウェブ機能が制限され、標的型攻撃から保護されます。
また、たとえ無害に見えたり、不明な送信者から送信されたとしても、疑わしいメッセージには対応しない方が賢明です。
さらに詳しい情報については、Appleの公式セキュリティアップデートページをご確認ください。慌てる必要はありませんが、ソフトウェアアップデートを常に最新の状態にしておくことが、今回のような隠れた脅威からiPhoneを守る最善の方法です。
