UAEの人権活動家のSMSに強力なマルウェア。ワンクリックでiPhoneを脱獄させる脆弱性が見つかる

比較的ハッキングに強いとされているApple製品ですが、iPhoneの世界的普及によりサイバー攻撃の標的に多くなっています。

先日、iPhoneに見つかった脆弱性はまさにそれを象徴するものでした。

SMSに送られたリンクをワンクリックするだけで、一瞬でiPhoneがジェイルブレイクされてしまうという脆弱性が見つかりました。

この脆弱性が見つかった経緯が、また現代を象徴するものでした。

事件の発端は、UAE(アラブ首長国連邦)の人権活動家Ahmed Mansoor氏のもとに届いた不審なSMSメッセージからです。そのメッセージには「UAEの刑務所内で繰り広げられた拷問の実態を暴露する情報にたどり着ける」というリンクが記されており、それを不審に思った同氏は、Citizen Labへと解析を依頼したところ、恐るべきiOSのゼロデイ脆弱性が判明したということです。

 

もしこのリンクをクリックしてしまうと、3種類の脆弱性を巧みに連動させたマルウェアが動作し、こっそりとiPhoneが乗っ取られてしまうとのことです。あらゆるメールやメッセージ、通話履歴や連絡先の情報が筒抜けになるほか、ユーザーの現在位置を把握され、パスワードも不正入手され、自由に会話を盗聴録音されてしまうほどの完成度の高いマルウェアだったそうです。

この脆弱性を見つけたLookout Securityの研究者のMike Murray氏によると、このマルウェアは、イスラエル企業のNSO Groupが開発した「Pegasus」というスパイウェアが関係しているとのことで、その企業は、もともと各国政府機関へ秘密の監視ツールを提供し、危険人物とされるターゲットにスパイウェアを送りつけては、その監視のもとに置くための技術サポートを提供していることで知られている企業です。

Appleは、即座に「iOS 9.3.5」をリリースすることでその脆弱性3種類すべての脆弱性に修正パッチを当てrアップデートを公開済みです。

今回の例に見られるように、このような攻撃は氷山の一角だと思われます。世界ではスマートフォンからの情報収集を狙い、こうした危険なツールが暗躍しているのでしょう。パソコンでもスマホでも、常に最新のアップデートを即適用する習慣を身につけておきましょう。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています