セキュリティの
学び場

今回の解説ニュース

Apple製品に複数の脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、セキュリティ情報の収集方法について説明します。

今回のApple製品に関するセキュリティアップデートに伴い、複数の脆弱性が存在することについて発表されています。影響を受けるシステムは、iPhone XS以降とiPadの複数のバージョンです。影響として、ローカルの攻撃者が権限を昇格できたり、任意のコードが実行されたりする可能性があるということです。

公開されている脆弱性「Kernel」と「WebRTC」とは？

今回の、iOS 17.0.3およびiPadOS 17.0.3に関するセキュリティアップデートで修正された2つの脆弱性について説明します。特に、最初の脆弱性は深刻度も高いため、早期に対応することを検討してください。

（１）「Kernelに権限昇格の脆弱性が存在する」
影響として、ローカルの攻撃者が権限を昇格できる可能性があります。例えばiPhoneの場合、この脆弱性を悪用する不正なアプリをインストールしてしまった場合、アプリが動作するために必要十分な権限を越えて、iPhoneを攻撃者がコントロールできてしまうような、強い権限を付与してしまう可能性があります。なお、Appleでは、iOS 16.6 より前にリリースされたバージョンの iOSで、この脆弱性が悪用された可能性があるという報告を把握しているということです。深刻度を表すCVSSv3の基本値は7.8で、2番目に高い「重要」とされています。

（２）「WebRTCにバッファオーバーフローの脆弱性がある」
影響として、任意のコードが実行される可能性があります。バッファオーバーフローの詳しい説明は過去の配信も聞いていただければと思いますが、コップから水があふれる状態をイメージしてください。プログラムに用意されたデータが入るコップに、攻撃者が容量以上のデータを注ぎ込むと、あふれたデータによって、プログラムの動作に異常をきたすというものです。その結果、任意のコードとして、攻撃者の意図した動作がiPhone上で実行されてしまうことになります。

身近なセキュリティ情報の収集方法

まずはプログラムの開発元が公開しているセキュリティ情報を確認し、JPCERT/CCやIPAの情報も併せて確認するようにしましょう。

多くの場合、最初に脆弱性情報が公開されるのは、プログラムの開発元です。よく使っているプログラムについては、開発元のホームページを確認したり、メーリングリストに登録したりして、使用しているプログラムに関するセキュリティ情報を定期的に入手するようにしましょう。

もし、プログラムの開発元がセキュリティ情報を公開してない場合は、脆弱性の対応ができないリスクがありますので、利用自体を再検討する必要があります。それでも利用を継続しなければならない場合は、JPCERT/CCやIPAが独自にセキュリティ情報を公開する場合がありますので、併せて確認するようにしましょう。