ゼロデイ攻撃の対象となった脆弱性を修正した「iOS 9.3.5」

　Appleは25日、iOSの新バージョン「9.3.5」をリリースした。Kernelで2件、WebKitで1件の脆弱性を修正している。同社ではユーザーに対してアップデートを推奨している。

　これら脆弱性はiOS 9.3.4以前のすべてのiOSデバイスが影響を受ける。「CVE-2016-4655」は、入力の検証における不具合により、アプリがカーネル領域のメモリ内容を取得できる場合があるもの。「CVE-2016-4656」は、メモリ破損によりアプリがカーネルの権限で任意のコードを実行できる可能性があるもの。「CVE-2016-4657」は、メモリ破損により、悪意を持って作成されたウェブサイトにアクセスすると、任意のコードが実行される可能性があるもの。

　3件の脆弱性は、カナダ・トロント大学の研究機関であるCitizen Labと米Lookout Securityから10日前にAppleへ報告されたもの。Lookoutの公式ブログによれば、アラブ首長国連邦（UAE）の人権活動家であるAhmed Mansoor氏が受け取った不審なテキストメッセージから判明したという。

　攻撃者は、クリックするとリモートから端末をJailbreakさせるURLリンクをメッセージ（SMS）で送信し、端末をJailbreakすると、マルウェアを送り込んで情報を搾取することが可能だった。Gmail、Facebook、Skype、WhatsApp、カレンダー、FaceTime、LINE、Mail.Ruなどあらゆるアプリの情報に加え、キーチェーンやWi-Fiなど、端末に保存されたあらゆるパスワードも収集できるほか、カメラやマイクによる映像や音声の収集も可能だったという。

　Citizen LabとLookoutでは、イスラエルの「NSO Group」が開発した「Pegasus」という製品が同攻撃に関与しており、その背後にはUAE政府が存在している可能性が高いとの見方を示している。Citizen Labは攻撃手法に関する詳細な調査報告をブログで公表している。