iOS 15とiPad OS 15は米時間20日リリースだけど、こっちは待ったなし!
クリックゼロで侵入&監視されることで、世界中のジャーナリストと運動家を恐怖に陥れたNSO Groupの最凶スパイウェアPegasusの脆弱性修正パッチが、Apple(アップル)から緊急リリースされました。「要人じゃないから平気」といわず、iPhone、iPad、Mac、Apple Watchを持ってる人は今すぐアップデートしておきましょうね。怖い穴ですよ!
対象モデル
対象機種は、iPhoneはiPhone 6s以降の全モデル、iPadは第5世代以降、iPad Proは全モデル、iPad Airは第2世代以降、iPad miniは第4世代以降、iPod touchは第7世代など。今入っているOSのバージョン情報を確かめて、最新OS(iOS 14.8、iPad OS 14.8、watchOS 7.6.2、macOS Big Sur 11.6)になっていればOKですが、なっていないなら公式のアップデート手順に従うことでアップデートできます。
トロント大学が発見
この最新のゼロデイ攻撃の脆弱性(CVE-2021-30860)を見つけたのは、トロント大学Citizen Labのセキュリティ研究班です。パッチのリリースを待って脆弱性の詳細公開に踏み切りました。
iMessageのゼロクリック攻撃を防ぐBlastDoor機能がiPhone 14で加わって解決済み!と思われたのですが、サウジアラビアの市民活動家のPegasusに感染したiPhoneを検分してみたら、なんとこのBlastDoorさえも突破してしまってることが判明。目に見えないマルウェア入りのメッセージを、iMessageで受け取るだけで侵入されてしまうリスキーな状態が、今も続いていることがわかったんです。
侵入されるとどうなるの?
侵入されると、ユーザーにできることはすべて外部からの侵入者にもできるようになります。SMSもメールも通話もすべて筒抜けになっちゃうし、ユーザーに気づかれないように端末のカメラを遠隔操作でONにしたりも可能。こうなるともう、いくらSignalやTelegramなんかのアプリで通信内容にエンドツーエンドの暗号化をかけてもお手上げで、NSOは欲しい情報を自在に回収して顧客に引き渡せる…みたいですよ?
アップルも2月にiOS 14.5のコードにこっそり変更を加えてゼロデイ攻撃しにくくしたばかりなのに…長引きますね…。
