楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【注意喚起】iOS9.3.5のアップデートをIPAが推奨 ゼロデイ攻撃を可能とした脆弱性の解消を!

zero-day (1)
スポンサードリンク

IPA(情報処理推進機構)がiOS9.3.5未満をインストールしたデバイスの所有者に対して、iOS9.3.5にアップデートを行い、ゼロデイ攻撃を可能とした脆弱性を解消するようにとWEBサイト上で呼びかけを行っています。

iOS9.3.5では、“カーネル権限で任意のコードを実行できる問題”など、3件の致命的な脆弱性が修正されており、IPAによればこれらの脆弱性を悪用した攻撃行為も確認されているようです。

“マイナーアップデートをしない”は何が危険なのか

iOS9.3.5のリリース記事でもいち早くお伝えしましたが、iOS9.3.5では下記3件の脆弱性を修正され、ゼロデイ攻撃への対処が行われました。

  • アプリケーションがカーネルメモリを開示できる問題
  • アプリケーションがカーネル権限で任意のコードを実行できる問題
  • 悪意のあるWEBサイトにアクセスした際に、任意のコードが実行される問題

Source:【iPhone】iOS9.3.5アップデートがリリース!3件の重要なセキュリティ問題が修正・改善される – SBAPP

iOS9.3.5未満のデバイスをお使いの場合、悪意のある第三者が作成したリンクを踏んでしまうと、これら3つの脆弱性を悪用してデバイスが脱獄(通称:JailBreak)されてしまい、悪意のあるソフトウェアが無断でインストールされてしまうようです。

結果的にデバイスに保存されている個人情報が流出してしまうのは勿論のこと、iOSキーチェーンを不正入手し、デバイスに保存されている全てのパスワードが取得されてしまったり、デバイスを通じて盗聴・盗撮されてしまう可能性もあり得ます。

※ 脆弱性(ぜいじゃくせい):プログラムの設計ミス等によるセキュリティ上の欠陥。セキュリティホールとも呼ばれている。
※ ゼロデイ攻撃:デバイスの脆弱性が修正される前に、脆弱性を悪用した攻撃を仕掛ける行為のこと。
※ カーネル権限:iOSシステムの中枢を操作できる”核(親)”のような権限。
※ カーネルメモリ:iOSシステム自体が使用しているメモリ(記憶)

IPA

IPAが公開した脆弱性を悪用した攻撃行為のイラスト。
引用:IPA

iOSのアップデートリリース後は様子見してから速やかにアップデートを

問題の程度は異なるものの、脆弱性の修正は過去のマイナーアップデートでも行われており、脆弱性を抱えたデバイスを使用していると、情報漏洩内部メモリの破壊に繋がる可能性も考えられます。

iOSのアップデート配信直後は、不具合の有無を確認するために数日様子を見るのは良いですが、いつまでもアップデートをせずにデバイスを使い続けるのは危険です。例え「危険なリンクは踏まないから大丈夫」「不審なアプリはダウンロードしないから大丈夫」といった自信があったとしても、余程な事情が無い限りは、速やかにアップデートをした方が安全です。

参考:IPA / 小龍茶館

コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top