セキュリティ情報


【注意喚起】アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して

  • [注意喚起]
  • 2010年 08月 12日

内容

2010年8月15日追記

当社注意喚起に関する報道に関して
一部の報道では、iPhoneを制御できるコンピュータウイルスを配布するサイトが既に存在するような誤解を与えかねない表現で記載されていますが、8月12日現在、弊社ではウイルスの発生は確認しておりません。
以下の注意喚起でも明示していますとおり、弊社としては危険が迫っているため、アップル社が8月12日に発表したアップデートプログラムを適応して、解決を図っていただきたいと考えています。
今後とも、安全・安心な社会のため、情報セキュリティの専門家として、注意喚起など行ってまいります。

 

 

株式会社ラック(本社:東京都千代田区、代表取締役社長: 齋藤理、以下ラック)は、アップル社製iPhoneやiPadの危険な脆弱性を悪用した攻撃の可能性が高いとして注意喚起いたします。

本日、アップル社よりiOS 4.0.2 ソフトウェア・アップデート for iPhone およびiOS 3.2.2 ソフトウェア・アップデート for iPad の配布が開始されました。これは、細工されたPDFファイルを経由してウイルス感染などの危険性が指摘されていたためです。

ラックのサイバーリスク総合研究所での研究により、この脆弱性を用いたPDFファイルをホームページで公開、あるいはメールなどで送信し、それを閲覧させることでiPhoneなどをコンピュータウイルスに感染させることが可能であることを確認しました。

このことは、iPhoneなどの利用者が、悪意のあるサイトを閲覧するだけで、密かに攻撃者の意のままに操作されるウイルスに感染させられることを意味しています。

アップル社からアップデートが公表されましたが、利用者がアップデートを行わない可能性もあり、今後、被害にあってしまう危険性も高いため、以下のとおり注意喚起を行います。

「iPhoneなどを標的にしたウイルス等にご注意ください」
8月12日現在では、その存在は確認されていませんが、これまで無縁だったコンピュータウイルスの発生は秒読み段階であるという認識が必要です。

【対処方法】

  • 万一に備えてiTunesでバックアップを取っておきましょう。
  • アップル社からiOS 4.0.2 ソフトウェア・アップデート for iPhoneおよび iOS 3.2.2 ソフトウェア・アップデート for iPad が発表されましたので速やかにアップデートしましょう。http://support.apple.com/kb/DL1061
  • 今後も、アップル社からのバージョンアップや回避策並びに対応策の案内が届いたらその指示に従いアップデートしましょう。
  • 関連メディアなどからのセキュリティ情報収集を怠らないようにしてください。
    ※ ただし、アップル社などからのメールを装った、ウイルス感染目的の偽メールなどが出回る危険性もあるので、正しいメールであるか、確認して実施をお願いします。iTunesあるいはAppleStoreを介しての方法以外はあり得ないとお考えください。

「参考」
iPhoneやAndroidなどに代表されるスマートフォンを、海外を含む遠隔地の攻撃者により操作されるということは、パソコンにはない電話機能やGPSや各種センサーなどの悪用が想定されるため、パソコンとは異なった脅威となる認識が必要です。

【iPhoneなどの高機能携帯電話(スマートフォン)が遠隔地から操作される脅威】

    1)勝手に電話を使用される
  • 有料電話などに強制的にかけられて不当な料金を請求される。
  • 電話を使用する犯罪に悪用される。
  • サイバーテロに悪用される。
    2)プライバシー情報を窃取される
  • 位置情報、写真、スケジュール、連絡先、通話内容などを窃取または暴露される。
    3)パソコンがのっとられるのと同様の脅威に遭遇する
  • サイトで入力したデータを窃取される。
  • 迷惑メール送信の踏み台とされる。
  • サイバーテロに悪用される。
  • 使用できない状態にされる。

                                    以上

 

スマートフォンに対するドライブバイダウンロード攻撃コンセプト・デモ
この映像は、ガンブラーに象徴されるホームページ閲覧による悪性プログラム感染の攻撃を表現したコンセプト・デモンストレーションです。 スマートフォンにおいては、これまでこのような攻撃手法は大きな脅威と認識されていませんでしたが、急速な普及に伴ってこのような脅威が現実のものとなる可能性が高まっています。

 

 

【株式会社ラックについて】

株式会社ラックは、情報化社会の進展で地球が加速度的に縮小していくことを予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「サイバーリスク総合研究所」によるサイバー社会の安全な活用のための総合的な研究、国内最大級のセキュリティ監視センターJSOCによる24時間 365日の高度なセキュリティ監視・分析サービスの提供、「サイバー救急センター」による情報漏えい事故などの緊急対応・支援など、特徴的な活動を基軸に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様に総合的なセキュリティソリューションサービスを提供しています。

【報道機関からのお問い合わせ先】

株式会社ラック 取締役 最高技術責任者 西本逸郎
Tel: 03-6757-0113 E-mail: pr@lac.co.jp

*LAC、ラック、JSOC(ジェイソック)は、株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。

*この情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されています。 この情報を適用し、生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

対策

・万一に備えてiTunesでバックアップを取っておきましょう。 ・アップル社からiOS 4.0.2 ソフトウェア・アップデート for iPhoneおよび iOS 3.2.2 ソフトウェア・アップデート for iPad が発表されましたので速やかにアップデートしましょう。http://support.apple.com/kb/DL1061 ・今後も、アップル社からのバージョンアップや回避策並びに対応策の案内が届いたらその指示に従いアップデートしましょう。 ・関連メディアなどからのセキュリティ情報収集を怠らないようにしてください。 ※ ただし、アップル社などからのメールを装った、ウイルス感染目的の偽メールなどが出回る危険性もあるので、正しいメールであるか、確認して実施をお願いします。iTunesあるいはAppleStoreを介しての方法以外はあり得ないとお考えください。

ピックアップ
エネルギー管理ソリューション
標的方攻撃対策支援サービス
セキュリティ診断サービス