アップル、ゼロデイホールにパッチ適用 – 新しい iOS 16 でも

** 本記事は、Apple patches a zero-day hole – even in the brand new iOS 16 の翻訳です。最新の情報は英語記事をご覧ください。**

先日行われた Apple のイベントにて、多くの人が待ち望んだ iOS 16 とiPhone 14 などの新しいハードウェア製品が発表されました。

今朝、ソフォスでは念のため、iPhone の「設定」> 「一般」> 「ソフトウェア・アップデート」に進んでみましたが、アップデートについて何も表示されませんでした。

しかし、英国時間の夜 8 時より少し前 (協定世界時 2022-09-12 18:31 現在)、アップデートされた Apple 新製品の発表に関して、受信トレイに大量の更新通知が届きました。

速報に目を通す前にすぐ、再び「設定」> 「一般」> 「ソフトウェア・アップデート」に進みました。そして今回、iOS 16 の代替版であり、iOS 16 へとつながる iOS 15.7 へのアップグレードが無事に完了しました。

アップデートとアップグレードが同時に可能となっています。

(ソフォスでは iOS 16へのアップグレードも行いました。ダウンロードには 3GB 弱の容量を要しましたが、ダウンロード後のプロセスは想像以上に早く、今のところ全く問題なく動いています。)

アップグレードしない場合も必ずアップデートはするべき

iOS 15.7 と iPadOS 15.7 のアップデートには、CVE-2022-32917 と採番されたバグの修正を含む多数のセキュリティパッチが含まれているため、まだ iOS 16 にアップグレードしない場合でも、アップデートは念のため必要です。

このバグの発見は、単に「匿名の研究者」によるものとされており、以下のように記述されています。

[パッチ対象バグ:］カーネル

対象製品: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)

影響: アプリケーションによって、カーネル権限で任意のコードを実行される可能性があります。Apple は、この問題が実環境で悪用されている可能性があるという報告を受けています。

概要: この問題は、境界チェックを改善することで対処しました。

前回、緊急で Apple のゼロデイ脆弱性に対するパッチが公開されたときに指摘したように、カーネルコード実行のバグは、無害に見えるアプリ (おそらく、調査時に明らかな危険信号を出さなかったために App Store に紛れ込んでしまったアプリを含む) であっても、アプリ別に適用される Apple のセキュリティ機能が意味を成さなくなります。

またカーネルコード実行のバグは、カメラの使用、マイクの起動、位置情報の取得、スクリーンショットの撮影、暗号化前 (または復号化後) のネットワークトラフィックの盗聴、他のアプリが所有するファイルへのアクセスなど、システム操作を実行する権利を取得することを含め、デバイス全体を乗っ取る可能性があります。

もし本当にこの「問題」(あるいはセキュリティホールと呼ぶのが適切かもしれません) が実環境にすでに広く悪用されているとすれば、ユーザーが信頼している App Store からすでにこの脆弱性を悪用するコードがあるアプリをインストールしている、と推論できます。

興味深いことに、macOS 11 (Big Sur) は macOS 11.7 にアップデートされ、上記の iOS ゼロデイ脆弱性の速報と全く同じ言葉で説明されている、CVE-2022-32894 と採番された第 2 のゼロデイ脆弱性にパッチを適用しました。

ただし、CVE-2022-32894 は Big Sur のバグとしてのみ記載されており、より最近の OS バージョンである macOS 12 (Monterey)、iOS 15、iPadOS 15、iOS 16 はこのバグの影響を受けていないようです。

このようなセキュリティホールはゼロデイと呼ばれ、セキュリティ意識の高いユーザーやシステム管理者であっても先を見越してパッチを適用できるタイミングがない (ゼロ日) ため、バグの悪用方法が既に判明した後にしか修正できないことを忘れないでください。

問題の全容

今回の更新では、以下が公開されました。

iOS 16 が一番下に来るように、メールで届いた順 (数字順とは逆) で以下にリストアップしています。

• APPLE-SA-2022-09-12-5: Safari 16。このアップデートは、macOS Big Sur (バージョン 11) と Monterey (バージョン 12) に適用されます。macOS 10 (Catalina) には、Safari のアップデートは記載されていません。修正されたバグのうち 2 つはリモートコード実行につながる可能性があり、罠が仕掛けられた Web サイトがコンピュータにマルウェアを埋め込む (その後 CVE-2022-32917 を悪用してカーネルレベルで乗っ取る) 可能性がありますが、いずれのバグもゼロデイであるとは記載されていません (HT213442 を参照)。
• APPLE-SA-2022-09-12-4: macOS Monterey 12.6。このアップデートは CVE-2022-32917 の修正を含んでいるため、緊急であると言えます (HT213444 を参照)。
• APPLE-SA-2022-09-12-3: macOS Big Sur 11.7。CVE-2022-32917 のゼロデイを含む、上記の macOS Monterey と同様のパッチが含まれています。この Big Sur アップデートは、上記 2 つ目のカーネル実行のゼロデイである CVE-2022-32894 にもパッチを適用しています (HT213443 を参照)。
• APPLE-SA-2022-09-12-2: iOS 15.7 と iPadOS 15.7。冒頭で述べたように、これらのアップデートは CVE-2022-32917 に対してパッチを適用しています (HT213445 を参照)。
• APPLE-SA-2022-09-12-1: 最も重要な iOS 16。多くの新機能に対してだけではなく、これには macOS 向けに別途配信された Safari のパッチ (このリストの一番上を参照) と、CVE-2022-32917 の修正も含まれています。興味深いことに、iOS 16 のアップグレード速報によると「追加の CVE 項目がすぐに追加される」とされていますが、CVE-2022-23917 をゼロデイと表記していません。これは、iOS 16 がまだ公式には「未公開」とみなされていなかったからなのか、それとも既知のエクスプロイトがパッチを適用されていない iOS 16 ベータ版ではまだ動作しないからなのかは、いまだ不明です。しかし、このバグは確かに iOS 15 から iOS 16 のコードベースに持ち越されたようです (HT213446 を参照)。

対策

いつものように、早期に、そして定期的にパッチを適用しましょう。

iOS 15 から iOS 16.0 への本格的なアップグレードは、インストール後にも報告されるように、iOS 15 の既知のバグを修正しています。(iPadOS 16 についてはまだ発表されていません)。

アップグレードがまだの方は、カーネルに関するゼロデイ脆弱性の対策のため、必ず iOS 15.7 にアップグレードしてください。

iPad の場合、iOS 16 がまだ発表されていないので、今すぐ iPadOS 15.7 を入手しましょう。iPadOS 16 が出るのをじっと待っていては、既知のカーネルの脆弱性が攻撃される恐れがあります。

Mac の場合、Monterey と Big Sur はダブルでアップデートが必要で、1 つは Safari へのパッチ適用で Safari 16 となり、もう 1 つは OS 自体へのパッチ適用で macOS 11.7 (Big Sur)、または macOS 12.6 (Monterey) になるとのことです。

今回は iOS 12 へのパッチはなく、macOS 10 (Catalina) についても言及されていません。Catalina がサポート終了となったのか、あるいは単に古すぎてこれらのバグが含まれていないのかは不明です。

CVE のアップデートについては、今後公開される記事をご覧ください。