米Apple、iOSの標準メールアプリに深刻な脆弱性が発見されました。iPhoneとiPadに影響を与える脆弱性の1つは、「ゼロクリック」と呼ばれ、ユーザーが受信したメールを開かなくても、メールアプリを開いただけで攻撃が可能な脆弱性です。
脆弱性を発見した米セキュリティ企業のZecOpsの報告によると、このゼロクリック脆弱性はすでに攻撃手段として使われたことが確認されています。ZecOpsが把握している被害者の中には、日本通信キャリアの幹部も含まれ、他には北米Fotune 500企業の個人、サウジアラビアとイスラエルのマネージドセキュリティサービスプロバイダ、ドイツのVIP、ヨーロッパのジャーナリストなどへの攻撃が確認されています。
攻撃では、特別に細工されたメールを送信してデバイスのメモリを大幅に消費させることにより、遠隔でのコードの実行やデバイスの感染を可能にします。ZecOpsは、攻撃者は攻撃に使用したメールを削除し、攻撃の痕跡を消した可能性があると指摘しています。
iOS 13で脆弱性が悪用された場合メールアプリが一時的に速度低下する以外の異常はみられず、一方、iOS 12で脆弱性が悪用された場合、メールアプリが突然クラッシュすることがあるそうです。
ZecOpsによると、この脆弱性はiPhone 5のリリース時、iOS 6から存在し、2018年以降にこの脆弱性を悪用したとみられる不審な動きを確認したそうです。
この脆弱性は、ZecOpsによりAppleに報告され、AppleはiOS 13.4.5ベータで脆弱性を修正しています。しかし、iOS 13.14.5の正式版リリースまでには数週間を要します。ZecOpsは、正式版リリースまでの間、Appleの標準メールアプリを使わず、OutlookやGmailなど別のメールクライアントに切り替えることを推奨しています。
コメントを残す