「iPhoneの場所も通話履歴も丸見えにする脆弱性」とは何だったのか：データ流出を招く「iOS」「macOS」脆弱性の正体【前編】

2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。

≫ 2023年04月27日 10時00分公開

iPhoneの位置情報や通話履歴が流出する恐れも

併せて読みたいお薦め記事

Apple製品を巡るセキュリティリスクとは

　FORCEDENTRYは、Apple製デバイスの脆弱性「CVE-2021-30860」を悪用し、ジャーナリストや活動家を狙っていたとみられる。2021年9月、トロント大学（University of Toronto）の学際研究組織Munk School of Global Affairs & Public Policyに属する研究者が、CVE-2021-30860の存在を公表。その後、AppleはiPhoneやMacのOSである「iOS」「macOS」のアップデートにより、CVE-2021-30860を修正した。

　Trellixは今回、FORCEDENTRYに対するAppleのセキュリティ対策を迂回（うかい）する脆弱性「CVE-2023-23530」「CVE-2023-23531」を、iOSとmacOSで発見したという。CVE-2023-23530とCVE-2023-23531は、管理者権限をはじめとする上位権限を取得できる「権限昇格」型の脆弱性だ。攻撃者がこれらの脆弱性を悪用すると、位置情報や通話履歴、写真といったApple製デバイス内のデータが流出する恐れがあるとTrellixはみる。

　CVE-2023-23530とCVE-2023-23531について、Trellixシニアリサーチャーのオースティン・エミット氏は、iOSおよびmacOSのAPI（アプリケーションプログラミングインタフェース）が用意する「NSPredicate」に関連していると説明する。NSPredicateは、データのフィルタリングに利用できるクラス（データや処理をまとめた「オブジェクト」の設計図）だ。AppleはFORCEDENTRYの攻撃活動を受け、同社製デバイスにNSPredicateへのアクセス制限を設けることで、セキュリティを強化していた。

　エミット氏によれば、AppleはNSPredicateへのアクセス制限によって大規模なアクセス拒否リストを作り、同社製デバイスをさまざまな脅威から保護することできた。だが今回Trellixが発見したCVE-2023-23530とCVE-2023-23531は、このアクセス制限を「無効にする」と同氏は述べる。AppleはiOSとmacOSのアップデートで、CVE-2023-23530とCVE-2023-23531を修正済みだ。

　次回は、CVE-2023-23530とCVE-2023-23531の発見を受けて、Appleはどう対処したのかを見る。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ