iOS セキュリティ研究者のウィル・ストラファック氏は、iOS のゼロデイ脆弱性を悪用する NSO やその他の攻撃者と戦うには、Apple がもっとできることがあるという最近の主張に同意している。

これは、NSO のスパイウェア「ペガサス」が人権活動家、弁護士、ジャーナリストに対するゼロクリック攻撃を仕掛けるために使用されているというアムネスティ・インターナショナルの報告を受けてのものだ…

背景

NSOグループは「ペガサス」と呼ばれるスパイウェアを開発し、政府機関や法執行機関に販売しています。同社はハッカーからいわゆるゼロデイ脆弱性（Appleが未知とする脆弱性）を購入しており、そのソフトウェアはゼロクリックエクスプロイト（標的側がユーザーの操作を必要としない攻撃）を実行できると言われています。

特に、特定の iMessage を受信するだけで、それを開いたり操作したりしなくても、iPhone が侵害され、個人データが漏洩する可能性があると報告されています。

NSOはペガサスを政府のみに販売しているが、その顧客には政治的反対派などが標的となっている、極めて人権状況の悪い国々も含まれている。

ジョンズ・ホプキンス大学の暗号学者は、アップルはもっとできると語る

ジョンズ・ホプキンス大学の准教授で暗号学者のマシュー・グリーン氏は今週初め、こうした攻撃をより困難にするためにアップルが実行できる手段が2つあると述べた。

Appleは、iMessageのコードベースの大部分と、データ解析を扱う多くのシステムライブラリを、メモリセーフな言語で書き直す必要があるだろう。また、脆弱性の悪用を困難にするために、PACやMTEといったARMの緩和策を広く導入する必要もあるだろう[…]

Appleはすでに、不審な動作をするプロセスを検出するためにリモートテレメトリを実行しています。この種のテレメトリは、ユーザーのプライバシーを侵害することなく、可能な限り拡張できる可能性があります。

ウィル・ストラファック氏はNSOと戦うにはさらなる努力が必要だと同意している

著名なセキュリティ研究者であり、iPhoneのジェイルブレーカーでもあるウィル・ストラファック氏も、Appleの対策が不十分であることに同意している。問題の一つは、iOSがセキュリティ研究者に対し、攻撃の仕組みを解明するのに役立つログやその他のデータへのアクセスを十分に提供していないことだ。

iOSセキュリティ研究者のウィル・ストラファック氏は、「Appleは、iOSデバイスの監視や画像撮影を非常に安全な方法で実現し、この種の不正行為を捕捉できる可能性がたくさんあるのに、それが優先事項として扱われていないように思います。ポリシー上、正当な理由があるのは確かですが、私はこれに賛同できません。この考え方が変わることを切に願っています」と述べています。

アップルは当初の声明に変化はなく、スパイウェアを非難し、大きな脅威ではないものの、セキュリティ強化を継続していると述べた。

今回ご紹介したような攻撃は非常に巧妙で、開発には数百万ドルもの費用がかかり、効果の持続期間も短いことが多く、特定の個人を標的にするために利用されます。これは、これらの攻撃が当社のユーザーの大部分にとって脅威ではないことを意味しますが、当社はすべてのお客様を守るためにたゆまぬ努力を続け、お客様のデバイスとデータを保護する新たな保護機能を継続的に追加しています。

写真: ミハイル・ニロフ/Pexels

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。