Apple、ゼロデイ脆弱性の緊急パッチをリリース

2021 年 7 月には Microsoft に関係するサイバーセキュリティの脆弱性が多く見つかりました。

最初に PrintNightmare、次に HiveNightmare (PrintNightmare とは全く関係のないバグですが、類似した名前が付けられています)、そして PetitPotam (「小さなカバ」という意味です) と、立て続けに発見されています。

しかし現在、今度は Apple がパッチを当てる必要に迫られることになりました。前回の広範なセキュリティアップデートからわずか数日後に、ゼロデイ脆弱性の緊急修正が発表されました。

今回発見された脆弱性には特に名前は付けられていませんが、Apple によると「匿名の研究者」によって報告されたもので、CVE-2021-30807 と呼ばれています。

現状わかっていること、および Apple により公表されているのは以下のことのみです。

アプリケーションが、カーネル権限で任意のコードを実行できる可能性があります。Apple は、この問題が広く悪用された可能性があることを認識しています。

この脆弱性が攻撃者に先に知られていた場合、ゼロデイ脆弱性と呼ばれます。ゼロデイ脆弱性とは、攻撃者に先に発見され、攻撃が開始されてからパッチが当てられた脆弱性を指す専門用語です。

(ゼロデイ、あるいは 0 デイという名称は、たとえ公式のアップデートを熱心に、いち早く行う人であっても、パッチを適用する前に攻撃を受ける恐れがあることを意味します。)

この脆弱性は、IOMobileFrameBuffer カーネルコードに発見されたようです。このコンポーネントは、ユーザーランドアプリケーション (管理者権限を持たないソフトウェア) がデバイスやコンピュータのディスプレイを設定・使用する際に役立つものです。

IOMobileFrameBuffer がサポートする機能は、画面出力の省電力化、色や明るさの補正などの設定を管理するのに役立ちます。

IOMobileFrameBuffer のコード内に意図しない誤った方法で呼び出され、ある種のバッファのオーバーフローや誤配送を引き起こす可能性のある関数が存在し、カーネルがこの関数に渡されるパラメータのチェックを怠ったため、権限を持たないプログラムが本来侵入できないメモリにデータをドロップすることができてしまう現象が発生したと推測されています。

この種のバグは、悪意のあるプログラムが意図的に、任意のタイミングでデバイスをクラッシュさせることができる攻撃、すなわち DoS (サービス拒否) 攻撃にしばしば悪用されます。

メモリ改変バグは、悪意のあるプログラムが本来非公開のはずの他人のデータを読み取ってしまう情報漏洩につながることがあります。

さらに、権限を持たないプログラムがカーネルメモリに自由に変更を加えられるということは、より深刻なカーネルバグが引き起こされる可能性があるということです。

これらの中にはたとえば一般のアプリケーションが突然 OS と同等の権限を持つようになる EoP (Elevation of privilege:特権の昇格) や、Web ページを見たり画像を開いたりするような何の変哲もない操作によりカーネルが欺かれ、Apple によるものではない不審なコードを実行してしまう RCE (Remote Code Execution:リモートコード実行) なども含まれています。

さらに、Apple が「アプリケーションがカーネル権限で任意のコードを実行できる可能性がある」と指摘しているということは、攻撃者は気づかれないように個人情報を盗めるだけでなく、デバイスを事実上「ジェイルブレイク」させ Apple の保護セキュリティ機能を完全に迂回することができるということを意味します。

対策

パッチは早めに、頻繁に当てましょう。

残念ながら、今回のアップデートについては、Apple の主なセキュリティアップデートポータルである HT201222 にはまだ掲載されていません。

また、今回の問題に関するメールアラートもまだ [2021-07-27T13:00Z 現在] 発行されていません。

iOS 14.7.1iPadOS 14.7.1 のアップデートについては HT212623 に、macOS 11.5.1 のアップデートについては HT212622 に、Apple による非常に簡単な説明が掲載されています。

現在のところ、アップデートに対応しているのは上記のOS のみです。iOS 12 や、サポート対象ではあるものの古いバージョンの macOS がアップデートされていないのは脆弱性が存在しないからなのか、それとも単に Apple がまだパッチを当てていないからなのかは不明です。

詳細は追ってお伝えします。

Apple のデバイスをお持ちの方は、以下の項目からアップデートをチェックし、自動的に (まだアップデートがされていない場合) 最新のアップデートを取得することができます。

  • iPad または iPhone の場合は 「設定」>「一般」>「ソフトウェア・アップデート」からです。iOS 14 をご利用の場合、今回の更新によるバージョンは 14.7.1 です。
  • MacBook またはデスクトップの Mac の場合は 「アップルメニュー (左上隅のりんごマーク)」>「システム環境設定」>「ソフトウェア・アップデート」からです。macOS Big Sur 11をご利用の場合、今回の更新によるバージョンは 11.5.1 です。

    [2021-07-30T12:58Z 追記] Apple のセキュリティポータルページが更新され、これらの修正プログラムがアップデート一覧に掲載されました。Apple Watch に対応するための追加パッチ、watchOS 7.6.1 もリリースされています。