2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。
セキュリティベンダーTrellix(Musarubra US)は2023年2月、「iPhone」「Mac」といったApple製デバイスに存在する脆弱(ぜいじゃく)性を、新たに発見したことを明らかにした。Trellixによると、この脆弱性は、イスラエルの監視製品ベンダーNSO Groupが開発したエクスプロイト(脆弱性を悪用するプログラム)「FORCEDENTRY」と関連している。FORCEDENTRYに対するAppleのセキュリティ対策を無効化し、データ流出を引き起こす恐れがあったという、今回の脆弱性の正体とは。
FORCEDENTRYは、Apple製デバイスの脆弱性「CVE-2021-30860」を悪用し、ジャーナリストや活動家を狙っていたとみられる。2021年9月、トロント大学(University of Toronto)の学際研究組織Munk School of Global Affairs & Public Policyに属する研究者が、CVE-2021-30860の存在を公表。その後、AppleはiPhoneやMacのOSである「iOS」「macOS」のアップデートにより、CVE-2021-30860を修正した。
Trellixは今回、FORCEDENTRYに対するAppleのセキュリティ対策を迂回(うかい)する脆弱性「CVE-2023-23530」「CVE-2023-23531」を、iOSとmacOSで発見したという。CVE-2023-23530とCVE-2023-23531は、管理者権限をはじめとする上位権限を取得できる「権限昇格」型の脆弱性だ。攻撃者がこれらの脆弱性を悪用すると、位置情報や通話履歴、写真といったApple製デバイス内のデータが流出する恐れがあるとTrellixはみる。
CVE-2023-23530とCVE-2023-23531について、Trellixシニアリサーチャーのオースティン・エミット氏は、iOSおよびmacOSのAPI(アプリケーションプログラミングインタフェース)が用意する「NSPredicate」に関連していると説明する。NSPredicateは、データのフィルタリングに利用できるクラス(データや処理をまとめた「オブジェクト」の設計図)だ。AppleはFORCEDENTRYの攻撃活動を受け、同社製デバイスにNSPredicateへのアクセス制限を設けることで、セキュリティを強化していた。
エミット氏によれば、AppleはNSPredicateへのアクセス制限によって大規模なアクセス拒否リストを作り、同社製デバイスをさまざまな脅威から保護することできた。だが今回Trellixが発見したCVE-2023-23530とCVE-2023-23531は、このアクセス制限を「無効にする」と同氏は述べる。AppleはiOSとmacOSのアップデートで、CVE-2023-23530とCVE-2023-23531を修正済みだ。
次回は、CVE-2023-23530とCVE-2023-23531の発見を受けて、Appleはどう対処したのかを見る。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Z世代が考える「日本が最も力を入れて取り組むべき課題」1位は「ジェンダー平等」――SHIBUYA109 lab.調査
SDGsで挙げられている17の目標のうち、Z世代が考える「日本が最も力を入れて取り組むべき...
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...