「iPhoneの場所も通話履歴も丸見えにする脆弱性」とは何だったのか:データ流出を招く「iOS」「macOS」脆弱性の正体【前編】
2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。
セキュリティベンダーTrellix(Musarubra US)は2023年2月、「iPhone」「Mac」といったApple製デバイスに存在する脆弱(ぜいじゃく)性を、新たに発見したことを明らかにした。Trellixによると、この脆弱性は、イスラエルの監視製品ベンダーNSO Groupが開発したエクスプロイト(脆弱性を悪用するプログラム)「FORCEDENTRY」と関連している。FORCEDENTRYに対するAppleのセキュリティ対策を無効化し、データ流出を引き起こす恐れがあったという、今回の脆弱性の正体とは。
iPhoneの位置情報や通話履歴が流出する恐れも
併せて読みたいお薦め記事
Apple製品を巡るセキュリティリスクとは
FORCEDENTRYは、Apple製デバイスの脆弱性「CVE-2021-30860」を悪用し、ジャーナリストや活動家を狙っていたとみられる。2021年9月、トロント大学(University of Toronto)の学際研究組織Munk School of Global Affairs & Public Policyに属する研究者が、CVE-2021-30860の存在を公表。その後、AppleはiPhoneやMacのOSである「iOS」「macOS」のアップデートにより、CVE-2021-30860を修正した。
Trellixは今回、FORCEDENTRYに対するAppleのセキュリティ対策を迂回(うかい)する脆弱性「CVE-2023-23530」「CVE-2023-23531」を、iOSとmacOSで発見したという。CVE-2023-23530とCVE-2023-23531は、管理者権限をはじめとする上位権限を取得できる「権限昇格」型の脆弱性だ。攻撃者がこれらの脆弱性を悪用すると、位置情報や通話履歴、写真といったApple製デバイス内のデータが流出する恐れがあるとTrellixはみる。
CVE-2023-23530とCVE-2023-23531について、Trellixシニアリサーチャーのオースティン・エミット氏は、iOSおよびmacOSのAPI(アプリケーションプログラミングインタフェース)が用意する「NSPredicate」に関連していると説明する。NSPredicateは、データのフィルタリングに利用できるクラス(データや処理をまとめた「オブジェクト」の設計図)だ。AppleはFORCEDENTRYの攻撃活動を受け、同社製デバイスにNSPredicateへのアクセス制限を設けることで、セキュリティを強化していた。
エミット氏によれば、AppleはNSPredicateへのアクセス制限によって大規模なアクセス拒否リストを作り、同社製デバイスをさまざまな脅威から保護することできた。だが今回Trellixが発見したCVE-2023-23530とCVE-2023-23531は、このアクセス制限を「無効にする」と同氏は述べる。AppleはiOSとmacOSのアップデートで、CVE-2023-23530とCVE-2023-23531を修正済みだ。
次回は、CVE-2023-23530とCVE-2023-23531の発見を受けて、Appleはどう対処したのかを見る。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.