AppleのiOS 18とiPadOS 18では、様々なセキュリティの改善と修正が導入されています。知っておくべきこと、そして今すぐアップデートを検討すべき理由をご紹介します。
月曜日、Appleは最新のオペレーティングシステムであるiOS 18とiPadOS 18をリリースし、ついに一般公開されました。これらのアップデートには様々な新機能が導入されているだけでなく、多くの重要なセキュリティ修正も含まれています。
iOS 18では、他の主要なiOSアップデートと同様に、オペレーティングシステムの様々な機能や側面に関連するコアセキュリティ問題が修正されています。月曜日に導入された多くの修正により、攻撃者、アプリ、および権限のないユーザーによる連絡先情報や写真などの機密性の高いユーザー情報へのアクセスが防止されます。
iOS 18では、アクセシビリティ関連のセキュリティ修正が複数導入されています。これらの修正済みのアクセシビリティ関連の脆弱性により、攻撃者はロックされたデバイスに物理的にアクセスし、ユーザーの機密データにアクセスすることができました。
前述のアクセシビリティの脆弱性の1つは、攻撃者がSiriを機密データの収集手段として利用することを可能にしており、もう1つは、攻撃者がアクセシビリティ機能を通じて近くのデバイスを制御することを可能にしていました。これらのセキュリティ問題はいずれも、Appleによって「状態管理の改善」を通じて修正されました。
新たなセキュリティ問題により、攻撃者がAssistive Accessを利用して認証なしで最近の写真を閲覧できる可能性がありました。AppleはiOS 18で、ロックされたデバイスで提供されるオプションを制限することで、このアクセシビリティの脆弱性を解決しました。
iOS 18のセキュリティ修正でデータを安全に保つ
コントロールセンターでは、ステータスバーに適切なインジケーターを表示せずにアプリケーションが画面を録画できるというセキュリティ問題が修正されました。このため、ユーザーは画面が録画されていることに気付かない可能性がありました。Appleは「改善されたチェック」を使用することでこのセキュリティ問題を修正しました。
FileProviderとGame Centerはどちらも、アプリがユーザーの機密データにアクセスできてしまうセキュリティ上の問題を抱えていました。AppleはiOS 18でシンボリックリンクの検証を強化することでFileProviderの問題に対処し、検証強化によってGame Centerのファイルアクセスの問題を修正しました。
コントロールセンターがアップグレードされ、既知の脆弱性が修正されました
ロドルフ・ブルネッティ氏が発見したメールアプリのプライバシー問題により、アプリがユーザーの連絡先情報にアクセスできてしまう問題が発生しました。Appleはこの問題に対処し、「ログエントリの個人データの編集を改善」しました。
Offensive SecurityのCsaba Fitzl氏によって発見されたサンドボックスのセキュリティ問題により、アプリがユーザーの機密情報を漏洩する可能性がありました。iOS 18では、データ保護機能の強化によりこの問題が修正されています。同様に、Transparencyの権限に関する問題により、アプリがユーザーの機密データにアクセスする可能性がありました。Appleは追加の制限を設けることでこの問題に対処しました。
iOS 18のセキュリティ機能はサービス拒否攻撃を防ぐ
現在パッチが適用されている脆弱性の中には、悪意のある人物がいわゆるサービス拒否攻撃、つまり DoS 攻撃を実行することを可能にするものもありました。
mDNSresponder の問題により、アプリがサービス拒否攻撃を引き起こす可能性がありました。また、ImageIO および ModelI/O の問題により、画像処理がサービス拒否攻撃を引き起こす可能性がありました。さらに、リモート攻撃者は、これまでパッチが適用されていなかった携帯電話のセキュリティ問題を利用してサービス拒否攻撃を引き起こすこともできました。
iOS 18では、エラー処理の改善によりmDNSResponderのロジックエラーが解決され、状態管理の改善によりセルラー通信の問題も解決されました。境界チェックの改善によりImageIOの問題も修正され、ModelI/Oのセキュリティ問題はオープンソースソフトウェアに関係するため、サードパーティによって対処されました。
Safariは、Kenneth Chew氏とAnamika Adhikari氏によって発見された2つの別々の脆弱性に対するパッチを受け取りました。これらの脆弱性はどちらも、事前の認証なしでプライベートブラウジングタブにアクセスできるというものでした。これらの2つのセキュリティ問題は、AppleによってiOS 18およびiPadOS 18で状態管理の改善によって修正されました。
iOS 18では、悪意のあるウェブコンテンツに関連する2つのWebKitの脆弱性も修正されました。1つは悪意のあるウェブサイトがクロスオリジンでデータを盗み出す可能性があり、もう1つは悪意のあるウェブコンテンツを処理することでユニバーサルクロスサイトスクリプティング(UCS)攻撃につながる可能性があるというものでした。後者は状態管理の改善によって修正され、前者は「セキュリティオリジンの追跡の改善」によって解決されました。
同様に、libxml2 のセキュリティ問題により、悪意のある Web コンテンツを処理すると予期せぬプロセスクラッシュが発生する可能性がありました。この問題については、Apple は入力検証を改善することで整数オーバーフローに対処しました。
iOS 18では、Wi-Fi関連のセキュリティ問題も修正されました。このセキュリティ問題は、攻撃者がデバイスを安全なネットワークから強制的に切断できる状態でした。AppleはiOS 18で「ビーコン保護」を通じてこの整合性の問題を修正しました。
iOS 18 では Safari に新しいリーダー表示が導入されましたが、いくつかの重要なセキュリティ修正も追加されています。
アンドリュー・リトヴィノフ氏は、ネットワークトラフィックがVPNトンネル外に漏洩する可能性があるカーネル関連のロジックに関する別の問題についてAppleに報告しました。Appleは「チェック機能の改善」を通じてこのロジックの問題を修正しました。
同様に、NetworkExtensionの脆弱性により、アプリがデバイスのローカルネットワークに不正アクセスできてしまう問題がありました。このリストにある他の多くのセキュリティ問題と同様に、Appleは状態管理を改善することでこの問題を修正しました。
Siriには2つの重要なセキュリティ修正も適用されました。1つは、アプリケーションがユーザーの機密情報にアクセスできてしまう脆弱性を修正するものです。もう1つは、物理的なアクセス権を持つ攻撃者がロック画面からユーザーの連絡先を閲覧できないようにする修正です。
Bluetoothとその他のiOS 18のセキュリティ修正
複数の研究者が、アプリがBluetooth機能に不正アクセスできるカーネル関連のセキュリティ問題を報告しました。前述のSafariの脆弱性と同様に、この問題は「状態管理の改善」によって解決されました。
Bluetooth関連の別の問題により、悪意のあるBluetooth入力デバイスがペアリングを回避できる可能性がありました。この問題は、iOS 18で状態管理が改善されたことで修正されています。
UIKitにセキュリティ修正が適用され、以前は攻撃者が予期せぬアプリの終了を引き起こす可能性があった脆弱性が解消されました。AppleはiOS 18で境界チェックの改善によりこの問題を解決しました。
iOS 18およびiPadOS 18のセキュリティアップデートと修正の全リストは、Appleのセキュリティウェブサイトでご覧いただけます。前述のセキュリティ修正に加え、AppleはIOSurfaceAccelerator、メモ、印刷などに関する様々な問題にも対処しました。
Apple の最新のセキュリティ修正により、悪意のある人物がユーザーの個人データを入手するのがはるかに困難になるため、オペレーティング システムを常に最新の状態に保つことが重要です。
