本日、アップルは「OS Xヨセミテ(10.10.5)」および「OS Xエルキャピタン(10.11.6)」のカーネル脆弱性2件、およびサファリのWebKitの脆弱性に対するセキュリティ・アップデートをリリースしました。今回のセキュリティパッチは、先週8月25日にリリースされた「iOS 9.3.5」における重要な脆弱性の修正・改善とほぼ共通の内容です。
しかし、このiOSとMac共通の脆弱性がこれまでと違って厄介なのが「史上初の」モバイル標的型攻撃である点です。使用された攻撃ツールは「ペガサス(Pegasus)」と呼ばれ、WebKitとカーネルの3つのゼロデイ脆弱性(発見者はトライデントと命名)を巧妙に組み合わせてワンタップ(クリック)で利用者に気付かれることなくデバイス内のすべての情報にアクセスを開始します。
その結果、iPhoneであれば標準アプリの電話やメール、SMS、キーチェーンに保存された各種パスワードをはじめ、LINEやフェイスブックなど主要なサードパーティアプリの通信内容も悪意ある第三者のサーバに送信されてしまいます。Macでもこの脆弱性を突かれると同様の事態が発生すると想定されます。
このトライデント脆弱性を最初に発見したのはトロント大学の「Citizen Lab」とモバイルセキュリティ会社の「ルックアウト(Lookout)」の共同調査チーム。本日Mac Fan編集部は同社の日本法人であるルックアウト・ジャパンの石谷匡弘さんに独自取材を行いましたが、その内容は驚くべきものでした。Macユーザーにとっての緊急性も高いと判断し、誌面掲載を待たず本ブログで注意喚起を行う次第です。
本日現在ではルックアウト以外でのセキュリティアプリ以外では検出不可能で、当面の対策はiOSおよびOS Xのセキュリティ・アップデートの実行あるのみです。セキュリティの更新は後回しという人も多いかもしれませんが、いちはやく対策の実施を推奨します。Macアップストアからアップデートするか、下記のリンク先からセキュリティ・アップデートを実行できます。
・Security Update 2016-001 El Capitan and Security Update 2016-005 Yosemite
https://support.apple.com/en-us/HT207130
・Safari 9.1.3
https://support.apple.com/en-us/HT207131
なお、明日以降にルックアウトのブログ(https://blog.lookout.com/jp/)でも本件の詳細について掲載されるとのことですので、続報はそちらもチェックしてください。また、この史上もっとも巧妙な攻撃ツール「ペガサス」発見からアップルへの通報までの“緊迫の48時間”の模様、および同ツールを製造した謎のイスラエル企業「NSOグループ」について9月29日発売のMac Fan 11月号でお届けする予定です。
【栗原亮/Mac Fan】
☆Now On Sale ーMac Fan 2016年10月号ー