iPhoneメールの脆弱性は悪用されていないとAppleが主張c

iPhoneメールの脆弱性を発見したセキュリティ企業は、実際の攻撃においてこれらの脆弱性が「広く悪用されている」と主張しました。Appleは、これらの脆弱性が悪用されたことを示す「証拠」は見つからなかったとして、この主張を否定しました。

さらに、問題の脆弱性は iPhone および iPad のセキュリティ保護を回避することはできないとされています…

iPhoneメールの脆弱性の背景

AppleはセキュリティグループZecOpsが発見した3つの問題を認め、近々一般公開される予定のiOS 13.4.5ベータ版でこれらの問題を修正した。

しかし、ZecOpsは、これらの脆弱性を悪用した攻撃が2018年1月（iOS 11.2.2）にまで遡って実際に実行されたと主張し、この脆弱性を悪用されたと考えられる特定の個人の例まで挙げました。

ZecOps の調査と脅威インテリジェンスに基づき、これらの脆弱性、特にリモート ヒープ オーバーフローは、 高度な脅威オペレーターによる標的型攻撃で広く悪用されていると高い確信を持って推測しています。

標的と疑われる人物には以下が含まれます。

• 北米のフォーチュン500企業の個人
• 日本の通信事業者幹部
• ドイツからのVIP
• サウジアラビアとイスラエルのMSSP
• ヨーロッパのジャーナリスト
• 容疑者：スイス企業の幹部

アップルの否定

ブルームバーグの報道によると、Apple はこの主張を裏付ける証拠は見つからないだけでなく、報告された攻撃を成功させるほどの脆弱性はないと述べている。

米アップルは、サイバーセキュリティ企業ZecOps社が、ソフトウェアの欠陥によりハッカーがiPhoneなどのiOSデバイスに1年以上前から侵入していた可能性があると主張したことに反論した。同社は調査を開始し、声明の中で、メールの問題だけではサイバー攻撃者が内蔵セキュリティを回避できるほどには不十分であり、近日中に修正プログラムを公開するとした。

「研究者の報告を徹底的に調査し、提供された情報に基づき、これらの問題はユーザーにとって直ちにリスクとなるものではないと結論付けました」と、カリフォルニア州クパティーノに本社を置く同社は述べた。「研究者はメールアプリに3つの脆弱性を特定しましたが、それだけではiPhoneとiPadのセキュリティ保護を回避するには不十分であり、これらの脆弱性がユーザーに対して悪用された証拠は見つかっていません。」

この否定は、主張を完全に反駁するものではありません。特定の脆弱性だけではセキュリティ対策を回避できないかもしれませんが、既存のエクスプロイトと組み合わせることで回避できる可能性があります。しかし、この否定は強い言葉遣いで、クパチーノに本社を置く同社は、現実世界での攻撃は発生していないと真に信じていることを示唆しています。

apallu.com を Google ニュース フィードに追加します。