【ウソ?本当?】悪意あるWebサイトでiPhoneがマルウェアに感染することがある

2019年9月10日

iPhoneがセキュリティの脅威とは無縁だという説が誤りであることは、繰り返し証明されています。AppleのスマートフォンはAndroidデバイスほど標的にならないかもしれませんが、それでも、危険なWebサイトを開くだけでさまざまなマルウェアに感染する可能性がある、知らないうちにそういったWebサイトから何かがインストールされてしまうのだ、という噂があります。今回の記事では、その真相を探ります。

真実:悪意あるWebサイトが2年以上前からiPhoneのセキュリティメカニズムを侵害していた

Google Project Zeroの調査チームは、ハッキングされたいくつかのWebサイトが、これまで少なくとも2年間にわたってiPhoneへの攻撃に利用されていたことを発見しました(英語記事)。攻撃には14件に上るソフトウェア脆弱性が悪用されていましたが、そのうち7件はiPhone利用者の大半が使っているブラウザー、Safariの脆弱性でした。

残り7件のうち2件は、あるアプリが別のアプリのデータにアクセスすることを防ぐためにiOSで採用されているサンドボックスをマルウェアがエスケープできるようにする脆弱性で、あとの5件はiOSのカーネルに影響を与える脆弱性でした。iOSの中心的なコンポーネントであるカーネルを侵害することで、攻撃者は、iPhoneの持ち主にも与えられていないroot権限を手に入れることとなります。

これらの悪意あるWebサイトは、iOSの現行バージョンほぼすべて(iOS 10〜iOS 12)を攻撃する能力を持っていました。攻撃者は、iOSのアップデートが出るたびに策略を変更して新たな脆弱性へと攻撃の焦点を移していました。

感染したiPhoneには、どのようなマルウェアがインストールされたのか

これらのWebサイトは、アクセスしてきたデバイスにスパイウェアをインストールしていました。このスパイウェアはデバイスに対する無制限なアクセス権限を手に入れ、デバイスの持ち主が気づかないようにバックグラウンドで動作し、デバイスから抽出したデータを指令サーバーに送り続けていました。このスパイウェアが主に興味を示していたのは、以下のデータです。

  • iCloudキーチェーンに保管されているパスワードと認証トークン。攻撃者は、これらの認証情報を使って被害者のアカウントへの永続的なアクセス権を手に入れることができ、デバイスからスパイウェアが削除された後でもデータを盗み出すことが可能でした。
  • iMessage、Googleハングアウト、Telegram、Skype、Voxer、Viber、WhatsAppのメッセージ。これらのメッセンジャーアプリでは、メッセージが暗号化されずにデータベースに保存されていますが、スパイウェアはこのデータベースから情報を窃取していました。
  • Gmail、Yahoo、Outlook、QQmail、MailMasterのメール。スパイウェアは、これらメールアプリのデータベースからもメッセージを取得可能でした。
  • 通話履歴とSMS
  • GPSが有効になっている場合は、デバイスのリアルタイムの位置情報
  • アドレス帳
  • 写真
  • メモ
  • 音声メモ

さらに、指令サーバーからの要求に応じてデバイス上にあるアプリの一覧をスパイウェアの所有者に送信し、その上、これらのアプリからデータを取得して送ることが可能でした。しかも、データはすべて平文で送信されていました。別の言い方をすると、感染したiPhoneが公共Wi-Fiネットワークに接続していた場合、スパイウェアが送信するパスワード、メッセージ、その他情報を、スパイウェアを操る者以外の人も見ることが可能だったのです。

興味深いのは、スパイウェアがシステムに定着できるかどうかをスパイウェアの開発者が気にしていなかった点です。スマートフォンを再起動すると、このスパイウェアは消えてしまいます。とはいえ、このスパイウェアが一度にどれだけの情報を盗み出せるかを考えると、マルウェアが消えても大した慰めにはなりません。

脅威はなくなった…それとも?

Appleの開発チームは、2019年2月初旬のiOS 12.1.4で、サイバー犯罪者たちがこの活動で悪用していた脆弱性のうち残っていたものを解決しました。したがって、最新バージョンのiOSでは、ここで説明した攻撃からは守られています。

とはいうものの、専門家によれば、この悪意あるWebサイトには1週間に数千人がアクセスしていました。つまり、被害を受けた人の数は多数に上る可能性があります。さらに、現在は無害化されているWebサイトも、まだ発見されていない脆弱性を悪用した新しいWebサイトに取って代わられるかもしれません。

iPhoneをマルウェアの感染から守るには

このように、iPhoneが悪意あるWebサイトによってマルウェアに感染させられる可能性があるのは事実であり、感染の結果は非常に深刻なものとなる恐れがあります。したがって、十分な注意を払うことをお勧めします。

  • 常に最新バージョンのiOSを使用するようにしましょう。更新プログラムが利用可能になったら、すぐにダウンロードしてインストールしてください。新しいバージョンのiOSでは、サイバー犯罪者によって悪用される可能性のある脆弱性が修正されています。
  • 知らない人から送られてきたメールやメッセージ、広告その他のリンクはクリックしないようにしましょう。また、検索結果についても十分に注意してください。検索でヒットしたWebサイトの公正性が少しでも疑われる場合は、アクセスしない方が賢明です。

これまでに知られていない脅威でもブロック可能な、ふるまい分析テクノロジーを使用したセキュリティ製品を利用するのも1つの方法です。ただ、残念ながら、iOSで利用できる本格的なウイルス対策アプリはありません

では、悪意あるWebサイトにアクセスするだけでiPhoneがマルウェアに感染することがあるという話はウソ?それとも本当?

本当です。悪意あるWebサイトは、モバイルブラウザーやiOS自体の脆弱性を悪用することで、さまざまなマルウェアをインストール可能です。GoogleのProject Zeroチームが言及していたWebサイトは危険ではなくなりましたが、同じようなものが新たに登場する可能性はいつでもあります。