NEW
ロゴとアプリ版リニューアルのお知らせ

iOS 14.6にゼロクリック脆弱性が存在、政府が人権活動家の監視に利用していたとの報告

  • Engadget
  • 更新日:2021/07/20
No image

Nazar Abbas Photography via Getty Images

世界最大の国際人権NGOアムネスティ・インターナショナルは、iPhoneおよびAndroidデバイスを標的としたスパイウェア「Pegasus」に関する報告を発表しました。そのなかで、最新のiOS 14.6を搭載したiPhoneにつき、ユーザーが何も操作しなくてもマルウェアがインストール可能な「ゼロクリック」の脆弱性が利用されたと述べられています。

これはアムネスティが2014年7月~2021年7月まで、イスラエルのNSOグループが販売している「Pegasus」により行われた攻撃に関するフォレンジックレポート(不正アクセスやサイバー攻撃に夜被害調査)として発表したものです。このPegasusに感染したデバイスは、スマートフォン内に保存されているメッセージや写真をひそかに送信したり、電話の通話を録音したり、マイクから本人に知られず録音などができます。

NGOグループは、このスパイウェアが合法的なテロ対策目的でのみ販売していると主張してきました。しかし今回の報告書によると、実際には世界中の人権活動家、弁護士、ジャーナリストを標的にして使用されているとのことです。こうした観測は以前からあり、2020年末にもカナダの研究機関が37人のジャーナリストが持つiPhoneが政府等によりハッキングされていた証拠を発見したと報告していました

iPhoneユーザーにとって重大なことは、少し前まで最新だった(iOS 14.7が7月20日に配信開始)iOS 14.6でも、iMessageにゼロクリック脆弱性が存在したことでしょう。つまりユーザーが怪しいメッセージを受信したり、危険なURLを踏むことなくスパイウェアに感染させられたというわけです。

ここ数年、PegasusはiOSがセキュリティ脆弱性を塞ぐたびに対応してきたものの、2020年末(上記のカナダ研究機関が報告時)にはiOS 14では対策が施されたはずでした。しかし今回のアムネスティ報告では、その後まもなくNSOグループが代わりに使えるエクスプロイト(脆弱性を利用した攻撃方法)を見つけた上に、最新の対策が施されたはずのiOS 14.6のセキュリティまで攻略済みだったと判明したしだいです。

アムネスティの報告書では、実際に使われてきたPegasusの亜種につき事細かに説明されています。まず2019年には写真アプリのバグを利用し、iCloud Photo Streamサービスを介してiPhoneを制御できるようになっていたと思われるとのこと。スパイウェアがインストールされた後はクラッシュレポート(アプリが異常終了した際に自動的に生成される報告用データ)が無効にされており、それはアップルがログを見てエクスプロイトをすぐに発見してしまうのを防ぐためだと推測されています。

また2019年には「iMessage zero-click 0-day」(修正プログラムが提供されていない状態でのiMessageゼロクリック攻撃)が広く利用されていたとも述べられています。ハッカーは特別なiCloudアカウントを作成して、スパイウェアの配信に利用していた模様です。さらに2020年には、Apple Musicアプリが攻撃手段として使われるようになったことを示唆する証拠も報告されています。

この報告につき、アップルは英The Guardianに対して「アップルはジャーナリスト、人権活動家、および世界をより良い場所にしようとする人々に対するサイバー攻撃を明確に非難します。アップルは10年以上にわたり、セキュリティの革新で業界をリードしてきました。その結果、セキュリティ研究者は、iPhoneが市場で最も安全でセキュアなコンシューマ向けモバイルデバイスであると認めています」との声明を出しています。

また「説明されているような攻撃は高度に洗練されており、開発には何百万ドルもの費用がかかり、有効な期限も短いことが多く、特定の個人を標的にして使われます」として「圧倒的多数のユーザーにとっては脅威ではないことを意味します」と述べています。つまり政府にとって目障りなジャーナリストなど個人向けに高度にカスタマイズされた特注品であり、誰しもが脅威にさらされるわけではないと示唆しているといえます。

アップルはそう但し書きを付けつつも「すべてのお客様を守るためにたゆまぬ努力を続けており、お客様のデバイスとデータのために常に新しい保護機能を追加しています」と述べています。

いまやiPhoneやスマートフォンは、ジャーナリストや人権活動家らが世界に発信し、表現の自由を守るために不可欠な命綱とも言えます。アップルやGoogleなどハイテク企業にとってはPegasus対策は大多数の顧客へのサービスに繋がらず、コストパフォーマンスはいいとは言えませんが、奮闘を期待したいところです。

Source:Amnesty International,The Guardian

via:MacRumors

Kiyoshi Tane

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。
  • このエントリーをはてなブックマークに追加