「Mobile Pwn2Own 2017」レポート「iPhone」を無線LANにつなぐだけでデータ流出の恐れ――脆弱性発見コンテストで判明

脆弱性発見コンテストの「Mobile Pwn2Own 2017」では、セキュリティ研究者がコードの実行と賞金の獲得を目指して腕を競った。中でも注目すべきは、「iOS 11」の脆弱性を突いたハッキングが成功したことだ。

[Michael Heller，TechTarget]

Mobile Pwn2Own 2017で見つかったモバイルデバイスのハッキング成功例とは

　モバイルデバイス対象の脆弱（ぜいじゃく）性発見コンテスト「Mobile Pwn2Own 2017」に参加したセキュリティ研究者は、Appleの最新モバイルOS「iOS 11.1」を搭載した「iPhone」など各種スマートフォンのハッキングに成功した。

　AppleはiOS 11.1を2017年10月31日にリリースした。トレンドマイクロのセキュリティ研究機関Zero Day Initiative（ZDI）が主催するMobile Pwn2Own 2017は、翌11月1日と2日の両日に開催され、iOS 11.1は複数回ハッキングされた。Tencentの同じくセキュリティ研究機関であるKeen Security Labが「iPhone 7」で稼働するiOS 11を2つの方法でハッキングし、このコンテストで最も深刻な打撃を与えた。

　Mobile Pwn2Ownの初日にKeen Security Labチームは、無線LAN関連の計4種類の脆弱性を突くエクスプロイトコードを実行してiOS 11のハッキングに成功。不正アプリケーションをロードして、デバイスの再起動後も作動するようにした。ハッキングにどのような脆弱性を使用したかは不明だ。Appleは以前、最近見つかった無線LANの脆弱性「KRACK」がiOS 11.1で修正したことを認めていた。今回は、これとは別の無線LANの問題が使われたはずだ。

併せて読みたいお薦め記事

“iPhone安全神話”は本当か

• 「iPhone安全神話」の落日　iOSアプリ50個に1個の割合で情報漏えいのリスクか
• iPhone最大のセキュリティリスクは「ダメなユーザー」　徹底したい安全3カ条とは
• iPhone「iOS」の安全性をITプロが信じるようになった“2010年の転換点”

「Face ID」の安全性は

• 「iPhone X」採用の顔認証「Face ID」にセキュリティ専門家が真顔になる理由
• iPhone X「Face ID」のセキュリティ懸念は“誇張され過ぎ”

iOS 11.1で成功したハッキングの中身