閉じる
メニュー

新しいゼロデイ欠陥により iPhone が脆弱になる

  • iPhone ユーザーは、新たに見つかった脆弱性から保護するためにデバイスを更新する必要があります。
  • ゼロデイエクスプロイトはロシアのスパイ機関によって行われた可能性があります。
  • アップデートを自動的にインストールするようにソフトウェアとファームウェアを構成する必要があります。
赤い画面にマルウェアの警告シンボルが表示されたスマートフォン。
スマートフォン上のマルウェア。

sasha85ru/ゲッティイメージズ

まだ行っていない場合は、すぐに iPhone を更新する必要があります。

りんご パッチをリリースしました ハッカーが携帯電話にスパイウェアをインストールするために利用する可能性がある iOS の脆弱性について。 新たに発見された問題は、コンピュータにとって最も厄介なものの一つです。

「これらの脆弱性はゼロデイと呼ばれます。修正するまでの時間がゼロ日であるためです。」 ライアン・モンゴメリーの共同創設者 ペンテスターとLifewireの電子メールインタビューで語った。 「それらはベンダーには知られていないバグです。 Apple のセキュリティ チームは一流ですが、ご覧のとおり、一部の組織や国家は休暇を取っていません。」

ゼロデイ欠陥の修正

iPhone 8 以降をお持ちの場合は、次のことができます。 OS 16.5.1 アップデートをダウンロードする、権限のないユーザーが iPhone に保存されているデータにアクセスできるようにするセキュリティ上の問題にパッチを適用します。 この脆弱性はロシアで最初に発見され、ロシア政府当局者のiPhoneがスパイウェアに感染したという。

「カーネルレベルのバグ (CVE-2023-32434) により、攻撃者がカーネル権限で任意のコードを実行することが可能になります。」 ジョシュ・アミシャフ・ズラティン、サイバーセキュリティ会社のCEO ブリーチセンス 同様に、WebKit のバグ (CVE-2023-32439) により、悪意のある Web コンテンツの処理中に任意のコードが実行される可能性があります。 言い換えれば、悪意のあるユーザーがこれらの欠陥を悪用して、ターゲットのデバイス上で任意のコードを実行する可能性があります。」

悪意のある者はこれらの弱点を悪用して、デバイスとそれに含まれる機密情報に完全なリモート アクセスを取得する可能性があります。 ボイド・クレウィス、副社長兼最高情報セキュリティ責任者 バクスター・クレウィス・コンサルティングとLifewireへの電子メールで述べた。

「残念ながら、人間が開発したソフトウェアであっても欠陥や脆弱性が存在する可能性があるため、こうした悪用はテクノロジー業界では珍しいことではありません」と同氏は付け加えた。 「企業はセキュリティ パッチのリリースに熱心に取り組んでいますが、ゼロデイ エクスプロイトは頻繁に発見され続けており、多くの場合、公表されていません。」

これらの新しくパッチされた Apple iOS の脆弱性は、ゼロクリックであるため特に危険です。 マルウェアはユーザーのアクションを必要としません セキュリティ上のミスを犯すと、 アビラル・ヴェルマ、 の運営チームリーダー セキュリンとメールで述べた。 このスパイウェアは、カーネルの任意のコード実行の脆弱性をエクスプロイトした iMessage を介して iPhone に簡単に埋め込まれる可能性があります。

企業はセキュリティ パッチのリリースに熱心に取り組んでいますが、ゼロデイ エクスプロイトは頻繁に発見され続けており、多くの場合、公表されていません。

「テクノロジーがすべての人の日常生活と切り離せない部分になっているため、積極的に標的にされており、ゼロデイがより一般的になっていることを意味します」とヴェルマ氏は述べた。

2019 年以前のゼロデイ エクスプロイト 毎年33件未満にとどまったとヴェルマ氏は指摘した。 2020 年に悪用されたゼロデイはわずか 30 件でした。 2021 年にはその数が急激に増加し、80 件ものゼロデイ エクスプロイトが発生しました。 2022年には55でしたが、2023年に向けてまだ積み上げています。

同氏はさらに、「Apple自体が初めての被害者ではない。以前、悪名高いPegasusスパイウェアの展開にFORCEDENTRYゼロデイエクスプロイトが使用されていた」と付け加えた。 「実際、これは 2023 年に Apple によってパッチが適用された 9 回目のゼロデイです。 今年の GoAnywhere と MOVEit のゼロデイ エクスプロイトは、Cl0p などのランサムウェア ギャングによって使用され、 ヘルスケア、IT、金融などの重要なインフラ業界に広範な大混乱を引き起こす サービス。」

マルウェアから守る方法

脆弱性は危険であるのと同じくらい、データを保護する方法があると専門家は言います。 まず第一に、機密データが侵害されるリスクを軽減するために、デバイスが最新のソフトウェア パッチで常に最新の状態に保たれるようにすることだとクレウィス氏は言います。 「さらに、可能な限り、銀行取引や病歴などの機密情報を保管するアプリで多要素認証を利用してください」と彼は付け加えました。

ノートパソコンのキーボードの上に表示されるロック付きのスマートフォン。
開いたラップトップの上に座っているロックされたスマートフォン。

テロ・ヴェサライネン/ゲッティイメージズ

信頼できるウイルス対策ソフトウェアとマルウェア対策ソフトウェアをインストールして維持し、料金を支払うことを提案 ロバート・シチリアーノのCEO ProtectNowLLC.co、メールで。 同氏は、ウイルス対策ソリューションは既知の脅威を検出してブロックし、潜在的なゼロデイ攻撃に対する追加の防御層を提供できると述べた。

「ゼロデイに具体的に取り組んでいるわけではないかもしれないが、一般的には短期間で追いつくだろう」と同氏は付け加えた。

また、シチリアーノ氏は、ソフトウェアとファームウェアを次のように設定する必要があると述べました。 アップデートを自動的にインストールする. こうすることで、セキュリティ パッチやセキュリティ アップデートが利用可能になり次第、すぐに受け取ることができます。

注意して使用してください さまざまなウイルススキャンプラグイン 見慣れない Web サイトにアクセスしたり、信頼できないソースからファイルをダウンロードしたりするとき。 悪意のある Web サイトやダウンロードにより、ゼロデイ脆弱性が悪用される場合があります。

「常に警戒を怠らず、デジタルライフを守るために必要な予防措置を講じてください」とクレウィス氏は述べた。