iPhoneのメッセージアプリを開いただけでスパイウェアに感染するゼロクリック・エクスプロイトが報告される、AppleはiOS 14.8で脆弱性を修正

2021年9月13日、Appleはいくつかのセキュリティ問題に対処するためにiOS 14.8およびiPadOS 14.8をリリースしました。このアップデートでは、Apple純正のメッセージアプリであるiMessageを開くだけで端末がスパイウェアに感染するというゼロクリック・エクスプロイトへの対応が行われています。

iPhoneやAndroidをターゲットとしたスパイウェアであり、20カ国で180人以上のジャーナリストを監視するために用いられていたと報じられているのが「Pegasus」です。Pegasusは感染した端末からメール・通話履歴・ソーシャルメディア上での投稿・パスワード・連絡先・写真・ムービー・録音ファイル・閲覧履歴といったデータを収集することが可能とされており、その詳細は以下の記事を読むとよくわかります。

iPhoneやAndroid経由で世界中の著名人や政治家を監視するスパイウェア「Pegasus」とは？ - GIGAZINE

そんなPegasusに感染したiPhoneを利用していたサウジアラビアの活動家と協力し、トロント大学のサイバーセキュリティ研究所であるThe Citizen Labが、Pegasusに関する分析を続けていたところ、新しいゼロクリック・エクスプロイトの存在を発見・報告しています。

The Citizen Labによると、新しく発見されたゼロクリック・エクスプロイトは「FORCEDENTRY」と呼ばれており、Appleの画像レンダリングライブラリの脆弱性(CVE-2021-30860)を悪用したものだそうです。このFORCEDENTRYはiOSだけでなくmacOS、watchOSでも有効であることが確認されています。

Pegasusの開発元であるNSO Groupは、FORCEDENTRYを使って最新のOSが搭載されたApple端末にPegasusを感染させていたものとみられています。なお、The Citizen LabはFORCEDENTRYが少なくとも2021年2月頃から使用されてきたとみています。

当初、画像レンダリングライブラリの脆弱性を利用したFORCEDENTRYは、iMessage上に存在するGIF画像の処理に関する脆弱性を悪用しているものとみられていました。しかし、Appleによると問題があったのはPDFの処理で、悪意を持って作成されたPDFを処理すると整数オーバーフローが生じるという脆弱性が確認されています。

なお、FORCEDENTRYがPegasusと関連していると疑ったThe Citizen Labは、2021年9月7日に一連の報告をAppleに送信しており、AppleはFORCEDENTRYで悪用されていた画像レンダリングライブラリの脆弱性を修正するために、9月13日にiOS 14.8およびiPadOS 14.8をリリースしています。
iOS 14.8では他にもWebKitに関する脆弱性(CVE-2021-30858)も修正されています。これがNSO Groupに関連したものかどうかは不明ですが、脆弱性の発見者はThe Citizen Labではなく「匿名の研究者」となっています。

海外メディアのThe Vergeは「今回の事例はすべての端末を最新状態に保つことがいかに重要であるかを思い出させるものです」「端末が広く報告されているセキュリティエクスプロイトに対して脆弱でないか確認することをお勧めします」と記し、Apple端末を可能な限り早く最新版のOSにアップデートすることを推奨しています。