LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して

2010年8月15日追記
当社注意喚起に関する報道に関して

一部の報道では、iPhoneを制御できるコンピュータウイルスを配布するサイトが既に存在するような誤解を与えかねない表現で記載されていますが、8月12日現在、弊社ではウイルスの発生は確認しておりません。
以下の注意喚起でも明示していますとおり、弊社としては危険が迫っているため、アップル社が8月12日に発表したアップデートプログラムを適応して、解決を図っていただきたいと考えています。
今後とも、安全・安心な社会のため、情報セキュリティの専門家として、注意喚起など行ってまいります。

株式会社ラック(本社:東京都千代田区、代表取締役社長: 齋藤理、以下ラック)は、アップル社製iPhoneやiPadの危険な脆弱性を悪用した攻撃の可能性が高いとして注意喚起いたします。

本日、アップル社よりiOS 4.0.2 ソフトウェア・アップデート for iPhone およびiOS 3.2.2 ソフトウェア・アップデート for iPad の配布が開始されました。これは、細工されたPDFファイルを経由してウイルス感染などの危険性が指摘されていたためです。

ラックのサイバーリスク総合研究所での研究により、この脆弱性を用いたPDFファイルをホームページで公開、あるいはメールなどで送信し、それを閲覧させることでiPhoneなどをコンピュータウイルスに感染させることが可能であることを確認しました。

このことは、iPhoneなどの利用者が、悪意のあるサイトを閲覧するだけで、密かに攻撃者の意のままに操作されるウイルスに感染させられることを意味しています。

アップル社からアップデートが公表されましたが、利用者がアップデートを行わない可能性もあり、今後、被害にあってしまう危険性も高いため、以下のとおり注意喚起を行います。

「iPhoneなどを標的にしたウイルス等にご注意ください」

8月12日現在では、その存在は確認されていませんが、これまで無縁だったコンピュータウイルスの発生は秒読み段階であるという認識が必要です。

【対処方法】

  • 万一に備えてiTunesでバックアップを取っておきましょう。
  • アップル社からiOS 4.0.2 ソフトウェア・アップデート for iPhoneおよび iOS 3.2.2 ソフトウェア・アップデート for iPad が発表されましたので速やかにアップデートしましょう。
    https://support.apple.com/kb/DL1061
  • 今後も、アップル社からのバージョンアップや回避策並びに対応策の案内が届いたらその指示に従いアップデートしましょう。
  • 関連メディアなどからのセキュリティ情報収集を怠らないようにしてください。
    ※ ただし、アップル社などからのメールを装った、ウイルス感染目的の偽メールなどが出回る危険性もあるので、正しいメールであるか、確認して実施をお願いします。iTunesあるいはAppleStoreを介しての方法以外はあり得ないとお考えください。

「参考」
iPhoneやAndroidなどに代表されるスマートフォンを、海外を含む遠隔地の攻撃者により操作されるということは、パソコンにはない電話機能やGPSや各種センサーなどの悪用が想定されるため、パソコンとは異なった脅威となる認識が必要です。

【iPhoneなどの高機能携帯電話(スマートフォン)が遠隔地から操作される脅威】

1)勝手に電話を使用される

  • 有料電話などに強制的にかけられて不当な料金を請求される。
  • 電話を使用する犯罪に悪用される。
  • サイバーテロに悪用される。

2)プライバシー情報を窃取される

  • 位置情報、写真、スケジュール、連絡先、通話内容などを窃取または暴露される。

3)パソコンがのっとられるのと同様の脅威に遭遇する

  • サイトで入力したデータを窃取される。
  • 迷惑メール送信の踏み台とされる。
  • サイバーテロに悪用される。
  • 使用できない状態にされる。

以上

スマートフォンに対するドライブバイダウンロード攻撃コンセプト・デモ
この映像は、ガンブラーに象徴されるホームページ閲覧による悪性プログラム感染の攻撃を表現したコンセプト・デモンストレーションです。 スマートフォンにおいては、これまでこのような攻撃手法は大きな脅威と認識されていませんでしたが、急速な普及に伴ってこのような脅威が現実のものとなる可能性が高まっています。

この記事は役に立ちましたか?

はい いいえ