ニュース
iMessageの添付ファイルを国家などに解読される恐れ、脆弱性をiOS 9.3で修正
(2016/3/24 17:49)
iOS 9.3で修正された脆弱性(CVE-2016-1788)に関して、Symantecが公式ブログで言及している。これは、iMessageの添付ファイルを解読される恐れがあるという脆弱性。「悪用が難しいものの、国家の支援を受けた攻撃者であれば不可能とも言い切れない」とし、iOSユーザーは攻撃のリスクを回避するためにiOS 9.3へアップデートするよう呼び掛けている。
この脆弱性は、iMessageで使われている暗号化メカニズムにある欠陥に起因するもの。悪用することで、iMessageの添付ファイルを攻撃者がリモートで復元し、解読できる可能性があるという。「暗号化されたiMessageのコピーを入手できれば、攻撃者は狙ったiOSデバイスに不正な暗号化メッセージを無数に送信する総当たり攻撃を仕掛けることができる。そのデバイスの応答を調べていけば、攻撃者は段階的に復号鍵を生成できることになる」(Symantec)。
脆弱性を発見したジョンズホプキンス大学の研究者チームによると、このような攻撃を実行するには70時間以上もかかるというが、攻撃に磨きがかかれば1日以内に完了できる可能性もあるという。
また、攻撃が複雑で実行するのに膨大なリソースを要すること、脆弱性がすでにiOS 9.3で修正されていることから、Symantecでは「この脆弱性を悪用するのは高度な攻撃グループによる標的型攻撃に限られる」とみている。今のところ、実際に悪用されていることを示す証拠も見つかっていないとしている。