Appleは、最新のiOS 18.3.1およびiPadOS 18.3.1のアップデートで、USB制限モードを回避できる深刻な脆弱性を修正した。この欠陥は、iOS 11.4.1で導入されたUSB制限モードを無効化し、物理的にデバイスへアクセスできる攻撃者がデータを抜き取る可能性を生じさせていた。

Citizen Labの研究者Bill Marczak氏によって発見されたこの脆弱性は、特定の標的に対する「極めて高度な攻撃」に悪用された可能性があるとされる。攻撃を実行するには、端末を直接入手する必要があったが、約7年間も修正されずに残っていた点が懸念される。

Appleはこの攻撃が誰によって行われたかについては明かしていないが、過去の事例を踏まえると、政府機関や特定のハッカーグループが関与していた可能性もある。セキュリティを確保するために、ユーザーは最新のアップデートを適用し、設定でUSB制限モードが有効になっていることを確認すべきだ。

iOS 11.4.1から続くUSB制限モードの脆弱性とは

USB制限モードは、AppleがiOS 11.4.1で導入したセキュリティ機能で、1時間以上ロック状態が続くとUSBアクセサリとのデータ通信を制限する仕組みだ。これにより、法執行機関が利用するCellebriteやGrayKeyといったデバイスからのデータ抽出を防ぐことを目的としていた。しかし、今回の脆弱性は、この制限モードが正常に機能せず、攻撃者が物理的に端末へアクセスすることで回避できた可能性がある。

約7年間、この欠陥は修正されずに放置されていた。つまり、iOS 11.4.1以降のすべてのiPhoneとiPadが影響を受けていた可能性がある。Citizen LabのBill Marczak氏によると、この脆弱性を利用した攻撃は「極めて高度」なものであり、標的が限定されていたと考えられる。Appleは、具体的な攻撃手法や影響を受けたユーザーの範囲について公表していないが、少なくとも一部のケースでは実際に悪用されたと報告されている。

この欠陥の影響は、主に物理的に端末を奪われるリスクがある環境に限定される。そのため、一般ユーザーが日常的に警戒すべき脅威とは言い難いが、セキュリティの観点から見れば、これほど長期間修正されなかった点は大きな問題だ。Appleは通常、迅速なセキュリティパッチを提供することで知られているが、今回のケースは例外的な遅れを見せた。この背景には、攻撃がごく一部の標的に対してのみ行われていた可能性が考えられる。

Appleが詳細を公表しない理由と考えられる影響

Appleは今回の脆弱性について、修正を行ったことは公表したが、どのような攻撃が実施され、誰が標的になったのか、あるいはどの組織が関与したのかについては明言を避けている。これは、同社のセキュリティポリシーに基づくものと考えられるが、過去の事例と照らし合わせると、特定の国家機関やハッカーグループによる利用があった可能性も否定できない。

過去にも、政府機関向けのスパイウェアや監視ツールがiPhoneの脆弱性を突いていたことが明らかになっている。たとえば、Marczak氏が2016年に発見したゼロデイ攻撃は、イスラエルのサイバー企業が開発し、一部の政府が購入して使用していたことが判明している。今回の脆弱性がどのような目的で利用されたかは不明だが、類似のケースが存在することを考えると、特定の個人や団体に向けたスパイ活動の一環だった可能性も考えられる。

Appleは「この問題が悪用された可能性がある」という表現を用いており、少なくとも一部のケースでは実際に利用されたことを示唆している。特に、物理的なアクセスが前提となる攻撃であることを考えると、企業関係者や政府関係者など、特定のターゲットに向けたサイバー攻撃の可能性が高い。今回の修正により、一般ユーザーにとってのリスクは解消されたものの、Appleのセキュリティポリシーや対応スピードについて、改めて議論が求められるだろう。

ユーザーが確認すべき設定と今後のセキュリティ対策

今回の脆弱性が修正されたことで、ユーザーは特に意識せずとも最新のiOS 18.3.1を適用することで安全性を確保できる。しかし、USB制限モードが適切に機能しているかどうかを確認することも重要だ。この設定は「Face ID(またはTouch ID)とパスコード」の項目内にあり、「アクセサリ」のスイッチがオフになっていることを確認すればよい。この設定がオフの場合、USBアクセサリはデバイスのロックが解除されるまでデータにアクセスできない。

また、iPhoneを物理的に奪われた場合のリスクを減らすため、画面のロック時間を短く設定することも有効だ。特に、公の場でデバイスを使用する場合や、持ち歩く機会が多いユーザーは、Face IDやTouch IDを活用し、迅速にロックできる環境を整えておくべきだ。

Appleは定期的にセキュリティアップデートを提供しているが、今回のように長期間にわたって脆弱性が存在していたケースを考慮すると、最新のソフトウェアにアップデートするだけでなく、日常的なセキュリティ意識を高めることが求められる。特に、機密性の高い情報を扱うユーザーは、二要素認証の導入や、デバイスの遠隔ロック機能を活用することで、万が一の事態に備えることが推奨される。

Source:Engadget