大規模iPhoneハッキングが発覚:何年間もマルウェアのハッキングを受けていた事実をGoogleのセキュリティ・チームが発見
2年半もの長期間にわたって、1週間に数千台のペースでiPhoneがハッキングを受けていた事実を、Googleの外部セキュリティー・チームの研究者らが発見した。ガーディアン紙がこれを報じた。
「ハッキングを受けたわずかな特定ウェブサイト」にアクセスしたiPhoneユーザが、マルウェアを勝手に埋め込まれハッキングを受けていた。
これらサイトを訪れただけでユーザはハッキングされていた:それ以外のインタラクションは一切不要で、ハッカーらが使った手段によっては、完全に最新版にアップデートしたiPhoneであってもハッキングの影響を受けていた。–The Guardian
ハッキングを受けマルウェアに感染したiPhoneは、ハッカーらによって、地理情報、(全てのパスワードを保存した)キーチェーン、iMessageやWhatsApp、Telegramなどの人気アプリのチャット履歴、アドレス帳、Gメールのデータベースなどにアクセスすることができるようになっていた。
不幸中の幸いは、ユーザがiPhoneを再起動すれば、ハッキング状態はリセットされていたということだ。しかし、ユーザがその特定のサイトを再び訪れてしまえば、またハッキングされた状態になっていた。
しかし、Googleのセキュリティ研究者であるイアン・ビアー氏は、「盗まれた情報の多さを考えると、ハッカーらは、たとえその携帯端末へのアクセスが切れたとしても、キーチェーンから盗んだオーセンティケーション・トークンを使って様々なアカウントやサービスに継続してアクセスすることができている可能性がある」と語っている。
今回のiOS攻撃に関して、5つの異なる「悪用チェーン(exploit chains)」の中に合計14件のバグが見つかった。これら脆弱性により、ハッカーは、一つの弱点からまた別の弱点へと「飛び移る」ことができ、その度に収集できるユーザ情報が増える状態になっていた。
さらに、TechCrunchが報じた内容によると、このハッキング攻撃は、中国国内のウィグル族という特定の地域の人々をターゲットに行われていた洗練された攻撃であるという。訪問するだけでハッキングを受けてしまうウェブサイトが、国家(おそらく中国)の支援を受けていると本件に詳しい人物の話として伝えている。ただし、アメリカの捜査当局もGoogleも、これらサイトがウィグル族をターゲットにしていたとは認めていない。
Googleのホワイト・ハットのハッキング集団、プロジェクト・ゼロのメンバーであるビアー氏は、「これは攻撃者を防げなかった失敗事例だ。我々がこの一つの攻撃事例を発見したということは、さらに他にも(攻撃事例が)あるというのはほぼ確実だ」と語る。まさに、ゴキブリを1匹見つければ100匹いると思え、ということだ。
Appleコミュニティーの間でも、このハッキングは大きな衝撃をもって受け止められている。2年半にもわたって、この脆弱性に気がつかず悪用されていたということは、Apple端末の信用性に関わる大問題である。中国がこのようなハッキングを行えるということは、他にも同様のハッキングを行えるということだ。ロシア政府も、国内の少数民族をターゲットに同様のハッキングを行なっている可能性が高いと報じられている。
これらハッキングに使われていたサイトはGoogleによりインデックス化されているため、ウィグル人以外でも、意図せずしてこれらサイトを訪れてしまった人たちもハッキングを受けていると報じられている。そのため、さらなる感染を防ぐため、FBIはGoogleにこれらサイトをインデックスから削除するよう要請している。
Googleのホワイトハッカー、ビアー氏は次のように語っている:
ユーザが行える防御策は、大規模なハッキングがいまだに起こっているという事実を認識することであり、それを前提に行動するということだけだ。現代人の生活にとって携帯端末は欠かすことができないものであると同時に、それがハッキングを受ければ自分たちの細かい行動の一つ一つがデータベースに吸い取られ、自分たちを攻撃する材料として使われてしまうかもしれない、ということを考えながら携帯端末を扱う必要がある。
Googleは、この脆弱性をAppleに対して今年2月1日に報告している。その6日後、AppleはこのOSの脆弱性を防ぐパッチをリリースしている。
一方、Googleがこの脆弱性を公表した際、ウィグル族をターゲットにしていることなどについては一切、公表していなかったことが批判を浴びている。Googleがこれらを公表していれば、ハッキングを受けている可能性が高い人たちへの注意喚起が早まり、ダメージを少しでも低く抑えることができていた可能性がある。また、10億人いると言われるiPhoneユーザたちにとっても、少しでも不安を和らげることになっていたかもしれない。
また、このiPhoneに対する大規模ハッキングが2年半にもわたって行われていたというニュースは、Appleが新機種iPhone 11を今年9月10日に投入すると発表するタイミングで行われた。AppleのiPhone販売へのダメージを狙ったタイミングであるのは明々白々である。
BonaFidrをフォロー