マスク攻撃報告から3日後、Appleが対応し脅威を軽視

目次

• マスク攻撃報告から3日後、Appleが対応
• Appleによる脅威の軽視
• 以前の欠陥

マスク攻撃報告から3日後、Appleが対応

今週初め、サイバーセキュリティ会社FireEyeは、Appleのモバイルオペレーティングシステムに脆弱性があることを警告しました。この脆弱性により、ハッカーはWebページ、テキストメッセージ、電子メールを利用してユーザーを騙し、個人情報を開示する可能性のある偽のアプリをダウンロードさせることができます。FireEyeによって「マスク攻撃」と名付けられたこの脅威では、正規の銀行や電子メールプログラムに似せた偽のアプリがAppleのApp Storeを通じてインストールされた本物のアプリを置き換え、ユーザーの知らないうちに個人情報をハッカーに送信することができます。

Appleによる脅威の軽視

Appleは公式声明の中で、この非常に深刻な欠陥を軽視し、ユーザーがAppleの優れたセキュリティ主張を疑う原因となっています。「私たちは、顧客を保護し、潜在的に悪意のあるソフトウェアをインストールする前に警告するために、OS XとiOSを内蔵のセキュリティ対策で設計しました」とAppleの代表者は述べ、同社は顧客が実際にこのような攻撃の犠牲になったことを認識していないと付け加えました。「私たちは、顧客がApp Storeのような信頼できるソースからのみダウンロードし、アプリをダウンロードする際の警告に注意を払うことを奨励します。カスタムアプリをインストールする企業ユーザーは、会社の安全なウェブサイトからアプリをインストールするべきです。」

この脆弱性を利用した攻撃が実際に行われたという確認された報告はまだありませんが、FireEyeの研究者は、このバグがiOS7で導入されたと主張しています。これにより、このバージョンのiOSまたはそれ以上を実行しているすべてのデバイスがリスクにさらされています。これは、すべてのiPhoneおよびiPadの95％がリスクにさらされていることを意味します。このバグは、デバイスが脱獄されている必要もありません。

以前の欠陥

これは、Apple製品がセキュリティの欠陥に陥った2回目の事例です。先週、セキュリティ会社Palo Alto Networksは、インターネットからダウンロードされた未承認のアプリがMacコンピュータに接続されたときにiPhoneを感染させる可能性がある新しい攻撃を発見したと説明しました。この攻撃は「WireLurker」と呼ばれ、中国で最初に認識され、月曜日にFireEyeが開示したのと同じ脆弱性に基づいています。これらの新しいセキュリティの欠陥は、セキュリティのパラダイムにおけるAppleの信頼性を大いに損なっています。