iPhoneとiOSは本当に安全ですか?新たなゼロデイ脆弱性により「神話」は完全に終焉

ワシントンポスト紙は、多くの人が自分のiPhoneは絶対に安全だと思っていたが、最新の調査によると、これまで知られていなかった3つの「ゼロデイ脆弱性」がAppleのモバイルオペレーティングシステムiOSに長年存在しており、実際にはAppleユーザーは常に危険にさらされていることが明らかになったと報じた。

カナダのトロント大学マンク国際問題学院と提携しているシチズン・ラボと、カリフォルニア州サンフランシスコのモバイルセキュリティ会社ルックアウトが発表した最新の報告書によると、ある種のスパイウェアが、iOSシステムに長年存在していた3つの「ゼロデイ脆弱性」を悪用し、iPhoneユーザーを騙してテキストメッセージ内のリンクをクリックさせることで、ユーザーのスマートフォンを乗っ取る可能性があることがわかった。

「これは、携帯電話を特に狙ったスパイウェアとしては、これまでで最も高度なものだ」と、ルックアウトのセキュリティ研究担当副社長マイク・マレー氏は語った。研究者らは、このスパイウェアがイスラエルの企業NSOグループと関係があるとしている。同社は2014年に米国のプライベートエクイティ会社フランシスコ・パートナーズに買収され、ジャーナリストや活動家を標的とするスパイウェアを開発してきた。

アップルは木曜日にパッチをリリースし、声明で「潜在的なセキュリティ上の脆弱性から身を守るために、すべてのユーザーに最新バージョンのiOSをダウンロードすることを推奨する」と述べた。しかし、このスパイウェアは、セキュリティ面で高い評価を得ているテクノロジー企業でさえ、政府に強力なデジタル監視機能を提供するハッキングツールが溢れる強力な市場と競争するのは依然として難しいという事実を浮き彫りにしている。

AppleのiOSを狙ったスパイウェアは、UAEの民主活動家アハメド・マンスール氏のiPhone 6で初めて発見された。同氏はUAEの刑務所で拷問を受けている囚人の「秘密」を暴露すると約束する2通のテキストメッセージを受け取った。マンスール氏はすぐに疑念を抱き、マルウェアを使って政府から頻繁に標的にされていると語った。彼らは新しいスパイウェアを入手するたびに、それを彼に試した。

このため、マンスール氏はメッセージ内のリンクをクリックせず、それをシチズン・ラボの研究者に転送した。モバイルセキュリティ企業Lookoutのセキュリティ専門家と協力し、彼らはマンスール氏の懸念を裏付けた。同氏がリンクをクリックしていたら、攻撃者は確かに同氏の携帯電話を乗っ取ることができたのだ。

シチズン・ラボは、マンスール氏の携帯電話への攻撃の背後にUAE政府がいた可能性があると考えているが、証拠は提示できなかった。 UAEはこれに対してまだ反応していない。しかし、NSOグループはパンフレットの中で、マンスール氏に対して使用された「ペガサス」と呼ばれるスパイウェアについて説明していた。このスパイウェアは、ハッカーが遠隔から密かに標的のデバイスを追跡し、そこから完全なデータを抜き出すことを可能にしていた。

さらに、シチズン・ラボは、汚職スキャンダルの報道を担当していたメキシコ人ジャーナリストもスパイウェアの標的となり、メキシコの有名ニュースメディアに関連していると思われる特定のリンクを含むテキストメッセージを受信したことを発見した。シチズン・ラボは今回の事件で具体的な攻撃者を特定できていないが、証拠から攻撃の背後にメキシコ政府がいたことが示唆されると考えている。メキシコ政府もコメントを拒否した。

Citizen LabとLookoutが警告を発した後、Appleは直ちに脆弱性の修正に取り組んだ。マンスール氏は8月10日と11日に攻撃を受け、Appleは通知を受けてから10日以内に解決策を提示するよう求められた。しかし、スパイウェアの詳細を見ると、それが何年も前から使用されていたことがわかる。 NSO グループはスパイウェアを政府機関にのみ販売していると述べているため、一般ユーザーに対する危険は限定的である。

NSOグループの広報担当者は声明の中で、マンスール氏やメキシコ人ジャーナリストについては知らず、同社自身もマルウェアシステムを実行していなかったと述べた。同社は、自社製品を合法的な方法でのみ使用することを要求する契約を顧客と締結している。具体的には、これらの製品は犯罪の防止および捜査にのみ使用できます。

しかし、過去の調査では、一部の政府機関がスパイウェアを使用して反対派やジャーナリストを監視していることが明らかになっている。最近公開された NSA の文書が示すように、パッチが適用されていない脆弱性を利用して実行されるマルウェアは、脆弱性が公開された場合、公共の安全を危険にさらす可能性があります。政府や、開発者に脆弱性を報告する代わりにハッキングツールを開発するNSOグループのような企業も、他の人が同じ問題を発見するかどうか確信が持てないため、すべてのユーザーのセキュリティを脅かす可能性があります。

Apple のデバイスは常にセキュリティに優れていることで知られており、Apple はサンバーナーディーノ銃撃犯ジェイミーの iPhone をめぐって FBI と訴訟を起こしたこともある。しかし、FBIは最終的にAppleの協力なしに携帯電話の暗号を解読し、そのサービスに対してプロのハッカーに100万ドル以上を支払ったと報じられている。 Apple は、iPhone プラットフォームを厳重に管理していることもあって、長年にわたり安全な消費者向け製品のリーダーであり続けています。しかし、これにより、Apple 製品に侵入しようとするハッカーもさらに増えることになりました。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。