2023年04月27日 10時00分 公開
特集/連載

「iPhoneの場所も通話履歴も丸見えにする脆弱性」とは何だったのかデータ流出を招く「iOS」「macOS」脆弱性の正体【前編】

2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。

[Alex ScroxtonTechTarget]

関連キーワード

Apple | セキュリティリスク | 脆弱性


 セキュリティベンダーTrellix(Musarubra US)は2023年2月、「iPhone」「Mac」といったApple製デバイスに存在する脆弱(ぜいじゃく)性を、新たに発見したことを明らかにした。Trellixによると、この脆弱性は、イスラエルの監視製品ベンダーNSO Groupが開発したエクスプロイト(脆弱性を悪用するプログラム)「FORCEDENTRY」と関連している。FORCEDENTRYに対するAppleのセキュリティ対策を無効化し、データ流出を引き起こす恐れがあったという、今回の脆弱性の正体とは。

iPhoneの位置情報や通話履歴が流出する恐れも

 FORCEDENTRYは、Apple製デバイスの脆弱性「CVE-2021-30860」を悪用し、ジャーナリストや活動家を狙っていたとみられる。2021年9月、トロント大学(University of Toronto)の学際研究組織Munk School of Global Affairs & Public Policyに属する研究者が、CVE-2021-30860の存在を公表。その後、AppleはiPhoneやMacのOSである「iOS」「macOS」のアップデートにより、CVE-2021-30860を修正した。

 Trellixは今回、FORCEDENTRYに対するAppleのセキュリティ対策を迂回(うかい)する脆弱性「CVE-2023-23530」「CVE-2023-23531」を、iOSとmacOSで発見したという。CVE-2023-23530とCVE-2023-23531は、管理者権限をはじめとする上位権限を取得できる「権限昇格」型の脆弱性だ。攻撃者がこれらの脆弱性を悪用すると、位置情報や通話履歴、写真といったApple製デバイス内のデータが流出する恐れがあるとTrellixはみる。

 CVE-2023-23530とCVE-2023-23531について、Trellixシニアリサーチャーのオースティン・エミット氏は、iOSおよびmacOSのAPI(アプリケーションプログラミングインタフェース)が用意する「NSPredicate」に関連していると説明する。NSPredicateは、データのフィルタリングに利用できるクラス(データや処理をまとめた「オブジェクト」の設計図)だ。AppleはFORCEDENTRYの攻撃活動を受け、同社製デバイスにNSPredicateへのアクセス制限を設けることで、セキュリティを強化していた。

 エミット氏によれば、AppleはNSPredicateへのアクセス制限によって大規模なアクセス拒否リストを作り、同社製デバイスをさまざまな脅威から保護することできた。だが今回Trellixが発見したCVE-2023-23530とCVE-2023-23531は、このアクセス制限を「無効にする」と同氏は述べる。AppleはiOSとmacOSのアップデートで、CVE-2023-23530とCVE-2023-23531を修正済みだ。


 次回は、CVE-2023-23530とCVE-2023-23531の発見を受けて、Appleはどう対処したのかを見る。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news180.jpg

電通「2023年 日本の広告費」 総広告費、インターネット広告費は2年連続で過去最高に
電通が「2023年 日本の広告費」を発表しました。主なトピックスを抜粋して紹介します。

news041.jpg

2024年の広告業界大予測(無料eBook)
Forrester Researchは2024年を「大手メディアが活気を取り戻す瞬間」としています。マー...

news196.jpg

アニメ世界の「ワクドナルド」が公式に McDonald'sが日本人アーティストのAcky Bright氏と始めたこと
McDonald'sがアニメやマンガでよく描かれる「WcDonald's(ワクドナルド)」をオマージュ...