Appleは徹底的な調査の結果、iPhoneおよびiPadのメールアプリで発見された脆弱性が顧客に対して悪用されたという「証拠は見つからなかった」と発表しました。さらに、Appleはメールアプリの脆弱性が「ユーザーに直ちにリスクをもたらすものではない」と確信しています。
マザーボードとウォールストリートジャーナルが今週初めに報じ、iDownloadBlog も伝えたように、サンフランシスコに拠点を置くサイバーセキュリティ企業 ZecOps の研究者らは、iOS デバイスの標準メールアプリに 2 つのセキュリティ上の脆弱性を発見しました。
iOS 6以降に存在するこの脆弱性は、ユーザーが添付ファイルを開く必要がないため、悪意のあるメールメッセージにアクセスするだけでセキュリティを侵害できるとされており、これはリモートゼロクリック攻撃として知られています。ZecOpsは水曜日に公開されたレポートで、メールの脆弱性は実環境にある5億台以上のiPhoneに影響を与えている可能性があると主張し、これらのデバイスがハッカーの攻撃に対して脆弱な状態にあると指摘しました。
これらの脆弱性は、高度な脅威オペレーターによる標的型攻撃で広く悪用されており、VIP、複数の業界の経営幹部、フォーチュン 2000 企業の個人、さらには MSSP などの小規模組織をターゲットにしています。
Apple社は現在、それは全く事実ではないと述べており、この件に関してブルームバーグのマーク・ガーマン氏に公式声明を出し、ガーマン氏はそれをツイートで共有した。
Appleはセキュリティ脅威に関するすべての報告を真摯に受け止めています。研究者の報告を徹底的に調査した結果、提供された情報に基づき、これらの問題はユーザーの皆様に直ちに危険をもたらすものではないと結論付けました。
研究者はメールに3つの問題を特定しましたが、それだけではiPhoneとiPadのセキュリティ保護を回避するには不十分であり、顧客に対してそれが使用された証拠は見つかりませんでした。
つまり、メール アプリの脆弱性は直ちに危険をもたらすものではなく、iOS ソフトウェア アップデートによるソフトウェア修正が予定されているということです。
これらの潜在的な問題は、近日中に公開されるソフトウェアアップデートで修正されます。ユーザーの安全を守るため、セキュリティ研究者との協力を重視しており、研究者の方々のご協力に感謝申し上げます。
Apple の対応をまったくのナンセンスだと評する人もいるが、説明させていただきたい。
ZecOpsは、この脆弱性を悪用した6件の標的型攻撃が行われたと疑っており、攻撃対象にはフォーチュン500企業の関係者、日本の通信事業者幹部、ドイツの要人、サウジアラビアとイスラエルのマネージドセキュリティサービスプロバイダー、欧州のジャーナリストが含まれている。
Appleはメールアプリの脆弱性に関するZecOpsの報告に反応し、直ちにリスクをもたらすものではなく、ソフトウェアアップデートを予定していると述べている。pic.twitter.com/z4ExrmVfK8
— マーク・ガーマン(@markgurman)2020年4月24日
では、もし Apple が真実を語り、脆弱性そのものが重大でないのなら、一体なぜドイツの情報セキュリティ当局は警告を発したのでしょうか?
連邦情報保安局(BSI)は水曜日、この脆弱性により攻撃者が「電子メールを読んだり、変更したり、削除したり」できるようになる可能性があるため、この脆弱性は「特に重大」であると述べた。
Apple は現在テスト中の iOS 13.4.5 で脆弱性を修正する予定です。
