iOS
先日ブログで、AppleとMicrosoftのOS、およびSamsung Exynosのチップに脆弱性があり、ユーザーが何もしなくてもハッキングされる可能性があることをお伝えしました。今月に入ってiOSとmacOSに再び非常に深刻なセキュリティホールがあることが判明、すでに攻撃の対象となっていることが確認されています。Appleは最新のOSだけでなくそれ以前のバージョンについても迅速にアップデートするよう呼びかけています。
WebKitおよびIOSurfaceAcceleratorにおける脆弱性
今回発見された二つの脆弱性のうち、まず一つ目は、CVE-2023-28205(脅威レベル:「高」[8.8/10])と呼ばれ、Safariブラウザーの基盤であるWebKitにおける解放済みメモリの使用(そのほかの詳細は下に記載)に関連しています。犯罪者が、特別に悪意あるページを標的のデバイスに表示し、任意のコードが実行される可能性があります。
そして、二つ目の脆弱性 – CVE-2023-28206 (脅威レベル「高」 [8.6/10]) – は、IOSurfaceAccelerator オブジェクトで発見されました。攻撃者はこれを利用して、OSのカーネル権限で任意コードを実行することが可能です。これら2つの脆弱性は組み合わせて悪用される可能性が高いと考えられます。1つ目の脆弱性は、まずデバイスに侵入する役割を果たし、2つ目の脆弱性を利用することで、「サンドボックスから脱出」し、感染したデバイスを不正に操作することができるようになるためです。
今回脆弱性は、macOSのデスクトップとモバイルのOS、iOS、iPadOS、tvOSで発見されました。これらは、OSの最新世代ですが、以前のバージョンのOSにも脆弱性が確認されています。そのためAppleは、macOS 11、12、13、iOS/iPadOS 15、16、そしてtvOS 16のすべてのシステムに対してあらゆるアップデートを公開し、迅速にアップデート適用を呼びかけています。
これらの脆弱性が危険な理由
WebKitエンジンは、AppleのモバイルOSで使用できる唯一のブラウザエンジンです。iPhoneでどのブラウザを使うときも、WebページのレンダリングにはWebKitが使われます(つまり、iOS上のどのブラウザも基本的にはSafariです)。
さらに、他のアプリケーションからウェブページを開く際にも、同じエンジンが使用されます。そのため、Google ChromeやMozilla Firefoxなど別のブラウザをメインに使っている場合でも、Safariに関連する新しいアップデートを速やかにインストールすることが非常に重要です。
上記のようなWebKitの脆弱性は、iPhone、iPad、Macへのいわゆる「ゼロクリック」感染を可能にします。つまり、ユーザーが何もしなくてもデバイスが感染し、特別に作られた悪意のあるサイトへ誘導されます。
多くの場合、このような脆弱性は、権力者や大企業を狙った標的型攻撃で悪用されますが、一般のユーザーも運悪く感染したページに行きついた場合、被害を受けることがあります。そして、今回も似たようなことが起きているようです。Appleは詳細を公表していませんが、上記の脆弱性の連鎖は、スパイウェアをインストールする目的で、未知の攻撃者がすでに利用していると考えられます。
また、CVE-2023-28205とCVE-2023-28206はすでに公になっており、二つ目の脆弱性については概念実証がすでに公開されているため、他のサイバー犯罪者もこれらを悪用した攻撃を開始するとみられています。
身を守るために
もちろん、CVE-2023-28205およびCVE-2023-28206からデバイスを保護する最善の方法は、新しいAppleアップデートを速やかにインストールすることです。
- 最新のiOS、iPadOS、tvOSデバイスをお持ちの場合は、OSのバージョンを確認し、16.4.1にアップデートします。
- 最新のOSに対応していない古いiPhoneやiPadをお持ちの場合は、バージョン7.5へアップデートします。
- お使いのMacが最新のVentura OSを搭載している場合は、macOS 13.3.1にアップデートします。
- もしあなたがお使いのMacが、macOS Big SurまたはMontereyを搭載しているなら、それぞれmacOS 11.7.6または6.5にアップデートし、Safari用のアップデートも別途インストールする必要があります。
まだ修正が公開されていない新たな脆弱性があることも考えられます。デバイスを守る信頼性の高いアンチウイルスソフトをインストールすることも大切です。
ヒント