Citizen Labは12月20日(カナダ時間)、「The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab」において、iMessageゼロデイ脆弱性を悪用して36台のiPhoneがハッキングされていたことが明らかになったと伝えた。その状況から、今回発見されたハッキングはこの36台に限ったものではなく、より大規模な攻撃のごく一部であった可能性があることが指摘されている。
今回発見された攻撃には「KISMET」と呼ばれるエクスプロイトチェーンが使われている。KISMETはiOS 13.5.1に対してはゼロデイかつゼロクリックの脆弱性であり、当時Appleの最新デバイスであったiPhone 11に対してハッキングできた可能性があるという。攻撃は2019年10月から12月の間に成功したとされており、ジャーナリスト、プロデューサ、アンカー、企業幹部などが所有する36台のiPhoneがハッキングされていたと報告されている。
KISMETはiOS 14以降のバージョンに対しては機能しないと考えられており、最新のバージョンを使用している場合、この攻撃は成功しないとのことだ。Citizen Labの今回の発見によって、脆弱性が悪用されるケースの発見がますます困難になっていることが示された。
フィッシング詐欺などではユーザーに対してメールに含まれるリンクのクリックや添付ファイルの開封など、何かしらのアクションが要求されることが多い。こうしたケースでは、ユーザーは違和感を感じてサイバー攻撃を回避することがある。
一方、ゼロクリックの脆弱性の悪用に際しては、ユーザーに対するアクションが不要であり、ユーザーが感知することなく攻撃が完遂し、攻撃されたことすら気が付かない可能性がある。
