Apple が iPhone と iPad 旧機種に存在するゼロデイ脆弱性を修正するアップデートを公開。速やかに対応を。

** 本記事は、URGENT! Apple slips out zero-day update for older iPhones and iPads の翻訳です。最新の情報は英語記事をご覧ください。**

Apple が iOS 12 向けの予想外のアップデートを公開しました。

ソフォスが所有する iPhone 6+ は 8 年近く前のものですが、事故による画面破損以外はほとんど新品同様の状態です。過去 1 年間、Apple は iOS 12 に対してセキュリティアップデートを一切行いませんでした。

最後のアップデートは、2021 年 9 月 23 日に行われた iOS 12.5.5 へのアップデートです。

iOS 15 と iPad OS 15 のアップデート時にも Apple は iOS 12 のアップデートを行わなかったため、iOS 12 に対するサポートは打ち切られたと思われていました。ソフォスではこの iPhone 6+ をもっぱら外出中の地図や電話のための緊急デバイスとして使っています。

(画面の破損はこれ以上ひどくなりようがないので、このように使うのが最善であると思われます)

ところが、Apple が iOS 12 の新たなアップデートを発表しました。

今回のアップデートは、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch 第 6 世代に適用されます (iOS 13.1 と iPadOS 13.1 以前は iPhone と iPad はどちらも iOS を使用していました)。

ソフォスは Apple からのセキュリティ勧告のメールを受け取っていませんが、Naked Security の読者の方が Apple Security Bulletin HT213428 について報告してくださいました。感謝申し上げます。

Apple は、CVE-2022-32893 に対するパッチを公開しました。CVE-2022-32893 は 2022 年 8 月初めにほとんどの Apple プラットフォームで緊急パッチが提供された詳細不明の 2 つのゼロデイバグのうちの 1 つです。

マルウェアの埋め込み

CVE-2022-32893 は WebKit のリモートコード実行脆弱性です。この脆弱性はジェイルブレイクやスパイウェアの方法で攻撃者に悪用される恐れがあり、ユーザーは一見何の問題もないように見えるページや文書を閲覧しただけで不正 Web サイトに誘導され、デバイスにマルウェアを埋め込まれます。上の記事で CVE-2022-32893 について読むことができます。

さらに、カーネルに存在する 2 つ目の脆弱性 CVE-2022-32894 によって、マルウェアは侵害したアプリ (ブラウザやドキュメントビューアなど) 以外にも感染を広げ、オペレーティングシステム自体の内部を制御します。マルウェアはアプリケーションの監視や、設定の変更、他アプリケーションのインストールが行えるほか、Apple の厳格なセキュリティコントロールを回避することができます。

ただし、iOS 12 はカーネルレベルのゼロデイである CVE-2022-32894 に対しては脆弱ではないため、OS 自体が完全に侵害される危険性はほぼありません。

しかし、WebKit の脆弱性 CVE-2022-32893 に対しては脆弱であり、iPhone 内のアプリは高確率でリスクにさらされます。

今回 Apple が広範囲のユーザーに対して予防措置をとることにしたのは、何人かの著名な (あるいはリスクの高い、あるいはその両方の) 旧機種のユーザーがこれらの脆弱性によって危険にさらされたからであると思われます。

WebKit の危険性

WebKit の脆弱性は (単純に言えば) Safari より下層のソフトウェア層に存在しているため、この脆弱性の危険にさらされるのは Apple 製品専用のブラウザである Safari に限りません。

Firefox、Edge、Chrome などの他ブラウザも含めた iOS 上のすべてのブラウザが WebKit を使用しているため、同様の危険にさらされています (WebKit の使用はアプリを App Store に掲載するための Apple 側からの要件となっています)。

また、ヘルプページやバージョン情報表示画面、あるいは内蔵のミニブラウザなどの一般的なブラウジング以外の目的で Web コンテンツを表示するアプリも WebKit を使用しているため、同様のリスクをはらんでいます。

つまり、Safari の使用を避け、サードパーティのブラウザだけを使用したとしても、この脆弱性の回避策としては適切ではありません。

対策

これまでの iPhone の緊急パッチ提供時に iOS 12 のアップデートが含まれていなかったのは、単にアップデートが用意されていなかっただけであり、iOS12 の安全性を示すものではなかったことがわかりました。

iOS 12 はリスクを抱えており、CVE-2022-32893 に対するエクスプロイトは現に悪用されていますが、パッチはすでに提供されています。

早くパッチを適用しましょう。また、パッチの適用は定期的に行ってください。

アップデートするには、「設定」>「一般」>「ソフトウェア・アップデート」で、iOS 12.5.6 が表示されていることを確認します。

まだアップデートが自動的に届いていない場合は、「ダウンロードしてインストール」をタップして、すぐにアップデートを開始してください。