LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

iPhoneやiPadのメールアプリが動かなくなる恐れ。利用者は最新版iOSへの更新を(JVN#96551318)

LAC Advisory No.127

サイバー救急センターの永安 佑希允です。

iPhoneやiPadのメールアプリ(iOS標準のメールアプリ)には、ある方法で作成されたメールを受け取っただけで動かなくなる問題があることが分かりました。

この問題はすでにApple社によって修正されていますが、その修正を適用するには自分でiOSを最新版(12.1以降)にアップデートする必要があります。メールアプリを利用している場合は最新版へのアップデートをお勧めします。

脅威度

対策

iOSを最新版(12.1以降)にアップデートしてください。

解説

今回の問題は、iOS標準のメールアプリが、S/MIME方式で電子署名されたメールを処理する際の方法に起因して生じるものです。

S/MIMEは、メールを暗号化したりメールに電子署名を加えたりする方式の一つです。iOS標準のメールアプリはS/MIMEをサポートしており、iOSの設定画面でS/MIMEを有効にすると使用できます(図1)。近年では、公的機関や金融機関から発信されるものを中心に、S/MIMEで電子署名されたメールを見かけるようになってきました。正しく電子署名されたメールには、差出人のところにチェックマークが付くのが特徴です(図2)。

iOSのS/MIME設定画面

図1:iOSのS/MIME設定画面

公S/MIME電子署名付きメールをiOS標準のメールアプリで表示

図2:S/MIME電子署名付きメールをiOS標準のメールアプリで表示(赤枠は筆者による)

今回の問題は、特定のS/MIME方式の電子署名付きメールを受け取った場合に、iOS標準のメールアプリが使えなくなるものです。S/MIME設定の有効・無効に関わらず影響を受けますので、このメールアプリを使う全ての人に関係します。

脆弱性の影響を受けると、メールアプリを開こうとしても即座に終了してしまい、起動することができません(動画)。この状態では、メールを読むことも送ることもできなくなります。

動画:iOS標準のメールアプリが繰り返し終了する様子

もし、IMAPやiCloudのようなメールボックスがサーバ側にある仕組みを使っている場合は、別の環境(パソコンなど)からメールを削除すれば、メールアプリは再び使えるようになります。ただ、同様のメールを受け取ると同じことが繰り返されますので、根本的に解決したとは言えず、不安定な状態が続くことになります。

iOSを12.1以降にアップデートすれば解決し、メールアプリは問題なく使えるようになります。このメールアプリを利用している場合は、早めのアップデートをご検討ください。

影響を受けるシステム

  • iOS標準のメールアプリ(iOSバージョン12.1より前)

発見者

永安 佑希允(サイバー救急センター)

公表までの経緯

もともとS/MIMEを積極的に使いたい思いがあり、いろいろな署名付きメールを作っては試していました。そんな中でメールアプリがクラッシュする現象を見つけました。

そこで、本件について、情報セキュリティ早期警戒パートナーシップに基づき、ラックから独立行政法人 情報処理推進機構(IPA)に報告し、その後JPCERTコーディネーションセンターにより開発者との調整が行われました。

IPA、JPCERTコーディネーションセンター、そしてApple社の迅速な対応に感謝します。

CVE番号

CVE-2018-4400

この記事は役に立ちましたか?

はい いいえ