ZecOpsは4月20日(米国時間)、「You’ve Got (0-click) Mail! - ZecOps Blog」において、iPhoneとiPadのメールアプリにリモートからコード実行が可能な脆弱性が存在していると伝えた。脆弱性は2年間以上存在していたという。
脆弱性に関する主な内容をまとめると次のとおり。
- これら脆弱性を悪用すると、リモートからのコード実行が可能になる。結果として、さまざまな攻撃を受ける危険性がある。
- iOS 13.4.1を含め(執筆時点でiOSの最新バージョン)テストを実施したすべてのiOSに脆弱性が存在している。
- iOSは少なくとも2012年9月のiOS 6以降、この攻撃に対して脆弱な状態だったと考えられる。それよりも前のバージョンも同様だと考えられるが、チェックは実施していない。
- iOS 13では、ユーザーが何もしない状態でこの攻撃を受ける可能性がある。iOS 12では、攻撃を引き起こすには、ユーザーがメールをクリックする必要がある。
- 攻撃者は脆弱性が悪用されたあと、それを引き起こしたメールを削除することが可能。
ZecOpsは、これら脆弱性は標的型攻撃で用いられたおそれがあり、特に以下の人が狙われている可能性があると指摘している。
- 北米フォーチューン500にエントリされている個人 https://news.mynavi.jp/article/20200423-1022532/
- 日本キャリアの幹部
- ドイツの要人
- サウジアラビアとイスラエルのMSSP
- ヨーロッパのジャーナリスト
- スイス起業の幹部
ZecOpsは、セキュリティアップデートが提供されていない段階で情報を公開したことについて、ユーザーが危険性を回避できるようにするためと説明している。これら脆弱性を悪用した攻撃を成功させるには、次のアップデートが提供されるまでに攻撃を実施する必要がある。
既に少なくとも6つの組織がこれら脆弱性の影響を受けていることがわかっているほか、さらに広く攻撃が実施される可能性があるという。アップデートが提供されるまでは「ベータパッチを適用する」「デフォルトのメールアプリの使用を停止してほかの代替アプリを使う」といった回避策を取ることが可能であり、こうした情報をユーザーに提供するために情報を公開したとしている。
