2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。
セキュリティベンダーTrellix(Musarubra US)は2023年2月、「iPhone」「Mac」といったApple製デバイスに存在する脆弱(ぜいじゃく)性を、新たに発見したことを明らかにした。Trellixによると、この脆弱性は、イスラエルの監視製品ベンダーNSO Groupが開発したエクスプロイト(脆弱性を悪用するプログラム)「FORCEDENTRY」と関連している。FORCEDENTRYに対するAppleのセキュリティ対策を無効化し、データ流出を引き起こす恐れがあったという、今回の脆弱性の正体とは。
FORCEDENTRYは、Apple製デバイスの脆弱性「CVE-2021-30860」を悪用し、ジャーナリストや活動家を狙っていたとみられる。2021年9月、トロント大学(University of Toronto)の学際研究組織Munk School of Global Affairs & Public Policyに属する研究者が、CVE-2021-30860の存在を公表。その後、AppleはiPhoneやMacのOSである「iOS」「macOS」のアップデートにより、CVE-2021-30860を修正した。
Trellixは今回、FORCEDENTRYに対するAppleのセキュリティ対策を迂回(うかい)する脆弱性「CVE-2023-23530」「CVE-2023-23531」を、iOSとmacOSで発見したという。CVE-2023-23530とCVE-2023-23531は、管理者権限をはじめとする上位権限を取得できる「権限昇格」型の脆弱性だ。攻撃者がこれらの脆弱性を悪用すると、位置情報や通話履歴、写真といったApple製デバイス内のデータが流出する恐れがあるとTrellixはみる。
CVE-2023-23530とCVE-2023-23531について、Trellixシニアリサーチャーのオースティン・エミット氏は、iOSおよびmacOSのAPI(アプリケーションプログラミングインタフェース)が用意する「NSPredicate」に関連していると説明する。NSPredicateは、データのフィルタリングに利用できるクラス(データや処理をまとめた「オブジェクト」の設計図)だ。AppleはFORCEDENTRYの攻撃活動を受け、同社製デバイスにNSPredicateへのアクセス制限を設けることで、セキュリティを強化していた。
エミット氏によれば、AppleはNSPredicateへのアクセス制限によって大規模なアクセス拒否リストを作り、同社製デバイスをさまざまな脅威から保護することできた。だが今回Trellixが発見したCVE-2023-23530とCVE-2023-23531は、このアクセス制限を「無効にする」と同氏は述べる。AppleはiOSとmacOSのアップデートで、CVE-2023-23530とCVE-2023-23531を修正済みだ。
次回は、CVE-2023-23530とCVE-2023-23531の発見を受けて、Appleはどう対処したのかを見る。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。