iPhoneやiPadのソフトウェアアップデートには、それまでに見つかったバグの修正が何かしら含まれているものです。そのため、iOSの新しいバージョンが公開されたら、すぐにアップデートすることが大切です。しかし、今回のアップデートはいつも以上に重要です。iOS 12.4では、利用者が何もしなくても悪用される可能性があるiMessageの深刻な脆弱性が修正されています。
iOSの深刻な6つの脆弱性は、Googleのバグハンティングチーム「Project Zero」のメンバーであるナタリー・シルバノービック(Natalie Silvanovich)氏とサミュエル・グロス(Samuel Groß)氏によって発見されました(リンク先はいずれも英語)。これまで分かっているのは、攻撃者がこのバグを使用してiPhoneまたはiPad上で悪意あるコードを実行可能である、しかも利用者によるアクションは何も必要ない、ということです。攻撃者は、標的のデバイスに悪意あるiMessageを送るだけでよいのです。
明らかになった脆弱性のうち4つはリモートでのコード実行に利用可能であり、あとの2つは、デバイス上のファイルの読み取りと、メモリからのデータ抜き取りを許します。
6つすべてを併せると、iOSデバイスの持ち主がセキュリティを危うくしそうなことを何もしなくても、デバイスに保存されたデータを攻撃者が完全に「手にする」ことが可能になります。
このようなバグはめったにあるものではなく、犯罪者にとっては貴重です。脆弱性の買い取りを行うZerodiumが公表している価格表によると、このレベルのバグは1つあたり最大100万ドルにもなる可能性があります。このようなバグがセットになっていれば、価格はさらに跳ね上がります。ZDNet(英語記事)では500~1,000万ドルに上るとの見立てを紹介しています。
脆弱性のうち1つについては、iOS 12.4でも修正されていないとして詳細が伏せられています。それ以外のバグの詳細および悪用の概念実証については、近日開催のBlack Hat USA 2019で、シルバノービック氏とグロス氏が発表の予定です(英語サイト)。
iOSデバイスをお使いの場合は、iOS12.4を直ちにインストールしてください。今後のバージョンではこれら脆弱性に関連する残りの問題も解決されている可能性があるため、次バージョンのiOSが公開されたら、こちらもすぐに適用することをお勧めします。
- iOSをアップデートするには、[設定]を開き、[一般]-[ソフトウェア・アップデート]の順に進み、[ダウンロードとインストール]をタップします。