推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示

by Luiz Felipe

Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキュリティ上のバグは、2019年7月23日に配信開始となったiOS 12.4ですべて修正されています。

Google researchers disclose vulnerabilities for 'interactionless' iOS attacks | ZDNet
https://www.zdnet.com/article/google-researchers-disclose-vulnerabilities-for-interactionless-ios-attacks/

Google Researchers Disclose PoCs for 4 Remotely Exploitable iOS Flaws
https://thehackernews.com/2019/07/apple-ios-vulnerabilities.html

iOS上に存在した「ユーザーの操作なし」で悪意のあるコードを実行したり、データを盗み出したりすることが可能になる6つの脆弱性について報告したのは、Project Zeroのメンバーのひとりであるナタリー・シルバノビッチ氏。なお、記事作成時点では6つの脆弱性のうち1つは詳細が非公開のままとなっています。

6つのセキュリティバグのうち、4つはリモートからiOS端末上で悪意のあるコードを実行することが可能になるというもので、コードの実行にユーザーの操作は不要です。攻撃者が行う必要があるのは、不正なメッセージをターゲットの端末に送信することのみで、あとはユーザーがメッセージを開けば悪意のあるコードが自動で実行されることとなります。

Project Zeroが報告した4つのバグは「CVE-2019-8641」(詳細非公開)、「CVE-2019-8647」、「CVE-2019-8660」、「CVE-2019-8662」です。リンク先にはバグに関する技術的な詳細のみでなく、バグを用いてエクスプロイトを作成するための概念実証コードも含まれています。

Project Zeroが発見した残りのセキュリティバグは、「CVE-2019-8624」と「CVE-2019-8646」です。これらのバグを使えば、攻撃者はユーザーの操作なしでターゲットとなる端末のメモリからデータを漏洩させ、リモート端末からそれらのデータを読み取ることが可能になります。

by Hardik Sharma

セキュリティバグを発見したシルバノビッチ氏と同僚のSamuelGroß氏は、アメリカのラスベガスで開催されるセキュリティカンファレンス「Black Hat USA 2019」で、バグの詳細をプレゼンテーションする予定です。なお、プレゼンテーションの概要には「iPhoneを攻撃するためにユーザーの操作を必要としない(非相互作用な)リモート脆弱性が存在するというウワサがありましたが、こういった種類の攻撃についての技術的側面は非常に限られています」と記されており、近年流行りの「ユーザーによる特定の操作なしで悪意のあるコードを実行可能となる脆弱性」についての一部詳細が明かされることとなる模様。

シルバノビッチ氏は脆弱性を発表した際に、6つの脆弱性について「(売れば)500万ドル(約5億4000万円)以上の価値がある」と主張しました。脆弱性の買い取りを行うZERODIUMの価格表に基づけば、今回発見された6つの脆弱性はそれぞれ100万ドル(約1億1000万円)をはるかに超える価格がつく可能性があります。また、テクノロジー系メディアのZDNetがエクスプロイトを取り扱うCrowdfenseに対して問い合わせたところ、ユーザーのクリックなしで動作するようなiOS向けのエクスプロイトであれば、影響度を考慮すればそれぞれ200～400万ドル(約2億2000万～約4億3000万円)程度で取引される可能性があるという回答が得られたそうです。そのため、ZDNetはシルバノビッチ氏による「500万ドル」という評価額は行き過ぎた評価ではなく、下手をすれば1000万ドル(約11億円)の価値がつく可能性もあると指摘しています。

なお、ZDNetは概念実証コードも公開されているため、いちはやくiOS 12.4にアップデートすることを推奨しています。