iPhoneのハッキングは、まれにしか発生しないと考えられているかもしれません。しかし、Googleの研究者グループ「Project Zero」は8月29日(現地時間)、何者かが過去2年間に渡り、複数のiPhoneの脆弱性を悪用していたことを発見し、米Appleに報告していたことを公表しました。
このエクスプロイトキャンペーンがどのように機能していたかというと、WIREDによると研究者は5つのエクスプロイトチェーンを集めたWebサイトを明らかにしました。これらのエクスプロイトチェーンは、セキュリティの脆弱性を結び付け、ハッカーがiOSのデジタル保護の各レイヤーに侵入できるようにするツールです。このキャンペーンは14のセキュリティ上の欠陥を利用して、攻撃者がユーザーのスマートフォンを完全に制御できるようにしました。研究者は、これらの悪意のあるサイトは、それらをロードしたAppleデバイスを評価し、可能であれば強力な監視マルウェアでデバイスを侵害するようにプログラムされたと述べています。マルウェアがインストールされると、リアルタイムの位置情報を監視し、写真、連絡先、パスワード、またはiOSキーチェーンから他の機密情報を取得できます。
この攻撃は、暗号化なしで情報がアップロードされているため、アクティビティが一目瞭然という、独特なものでした。ユーザーがネットワークトラフィックを監視すれば、ハッカーのサーバーにデータがアップロードされていることがわかるため、アクティビティに気付くでしょう。さらに、ユーザーは、デバイスをコンピューターに接続し、コンソールログを確認した場合、疑わしいアクティビティを確認することが可能です。コンソールログには、デバイスで実行されているプログラムのコードが表示されます。ただし、この方法では、ユーザーがiPhoneをコンピューターに接続するという追加の手順を実行する必要があるため、不審なアクティビティに気付くことはほとんどないでしょう。
通常、iOSのエクスプロイトを成功させるにはさまざまな複雑さが必要とされますが、このキャンペーンは、iOSハッキングが非常に活発で強力であることを証明しています。
それでは、この種の攻撃を防ぐためにAppleユーザーは何ができるでしょうか? デバイスを安全に保つ方法としては、OSの更新を自動で行われるよう設定することが第一です。デバイス設定で、ソフトウェアアップデートの”自動アップデート”をオンにしましょう。これにより、これらのエクスプロイトチェーンで利用されている脆弱性などへの対応がされ次第、最新のセキュリティパッチが反映されるので安心です。
※本ページの内容は、2019年9月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:iPhone Users: Here’s What You Need to Know About the Latest iOS Hacks
著者:Gary Davis