ｉＰｈｏｎｅ、ｉＰａｄのウイルス感染対策

　ｉＰｈｏｎｅとｉＰａｄに脆弱(ぜいじゃく)性（ソフトウエアの欠陥）が発見され、ウイルス感染の危険性が高まっている。

　保存されている個人情報や写真・メールなどを盗み取られる可能性がある。（テクニカルライター・三上洋）

ＰＤＦファイルで感染

　アップル社製のスマートフォン、ｉＰｈｏｎｅとタブレット型ＰＣ、ｉＰａｄで、脆弱性が発見された。細工されたＰＤＦ形式の文書ファイルを読み込むと、ウイルスなどに感染して外部から遠隔操作されたり、個人情報などを盗み取られる危険性がある。

　アップルではこの脆弱性を直すアップデートファイルを、１２日朝から配布している。また、企業向けセキュリティー対策大手・ラックでは、この問題に関する記者説明会を開いた。

　対象となるのは、ｉＰｈｏｎｅ・ｉＰａｄ向けＯＳ（基本ソフト）である「ｉＯＳ」を搭載している以下の機種だ。

・ｉＰｈｏｎｅ　４、３ＧＳ、３Ｇ
・ｉＰａｄ
・ｉＰｏｄ　ｔｏｕｃｈ（２ｎｄ　ｇｅｎｅｒａｔｉｏｎ、３ｒｄ　ｇｅｎｅｒａｔｉｏｎ）

　いずれも携帯電話回線、もしくはＷｉＦｉ（無線ＬＡＮ）でインターネットに接続できる機種で、悪意のある人物によって細工されたＰＤＦファイルを読み込むと、ウイルスなどに感染する可能性がある。感染の具体的なパターンとして、ラックでは二つのルートを想定している。

１：改ざんされたホームページに埋め込むパターン→ｉＰｈｏｎｅ、ｉＰａｄで表示するだけでウイルス感染
２：メール添付で広がるパターン→添付ファイルをクリックして開くとウイルス感染

　怖いのは前者で、以前に紹介したガンブラー攻撃のように、正規のサイトが改ざんされて不正なファイルが埋め込まれるパターンが考えられる。企業サイトやショッピングサイトなどを訪問しただけで感染する危険性がある。

外部操作で電話発信なども

ラックによるデモンストレーション。パソコンからのコマンド操作で、iPhoneに保存されたファイルが表示されてしまう

　この脆弱性について、ラックでは実際の被害を検証するデモンストレーションを行った。脆弱性を攻撃するＰＤＦファイルを作成し、仮想のブサイトにそのファイルを埋め込み、最新モデルのｉＰｈｏｎｅ４でアクセスする。

　するとｉＰｈｏｎｅ４が外部から操作されるようになってしまった。犯人が使うと想定したパソコンからアクセスすると、ｉＰｈｏｎｅ４に保存されたデータがすべて読めてしまう。デモではｉＰｈｏｎｅ４に保存されたメールを表示できるほか、撮影した写真もパソコンで読み取れた。さらに外部からのリモートコントロールで、電話をかけることができた。パソコンからコマンド操作で電話できるのだ。

　ラックの常務執行役員・西本逸郎氏は「電話機能のあるｉＰｈｏｎｅは、パソコンとは異なり２４時間電源を入れた状態にあるので危険だ。海外に電話をかけて料金の一部を利益とするサービス（日本でのダイヤルＱ２と同じもの）で儲けようとする犯罪者が出てくるかもしれない。また原理的にはＧＰＳデータを盗み出し、持ち主の居場所を確かめることも可能だろう」と述べている。

　原因となっている脆弱性は二つある。一つは不正なＰＤＦファイルを読み込んだ場合に、バッファオーバーフローという状態になって、任意のプログラムを実行できること。もう一つは、一部のデータを処理する際にオーバーフローし、システム権限を昇格できてしまうことだ。システム権限の昇格によって“脱獄”（Ｊａｉｌbｒｅａｋ、ジェイルブレイク）という状態になり、ＯＳの制限を外すこともできる。

“脱獄”で外部操作の危険性

iPhoneを“脱獄”させる「JailbreakMe」というサイトも、脆弱性を利用していた

　ｉＰｈｏｎｅ、ｉＰａｄの“脱獄”とは、アップルによるソフト上の規制を取り外すこと。アップルの審査を通っていないアプリが使えたり、さまざまなカスタマイズができるようになる。アップルの保証が利かなくなるが、利便性を求める一部のマニアが“脱獄”を行っている。

　実は今回の脆弱性は、この“脱獄”実行のサイト「ＪａｉｌｂｒｅａｋＭｅ」が広まったことから表面化した。「ＪａｉｌｂｒｅａｋＭｅ」というサイトでは、サイト上のボタンを押すだけで“脱獄”できてしまう。「ＪａｉｌｂｒｅａｋＭｅ」の作者が、ｉＯＳの脆弱性を利用していたわけだ。筆者の推測にはなるが、アップルが迅速にアップデートファイルを配布した理由は、脆弱性を直すだけではなく、脱獄を防止する目的があると思われる。今後は「脱獄できる」と称して、ウイルスに感染させるパターンも登場するかもしれない。知識のない人は「脱獄」には関わらないほうがいいだろう。

　今回の脆弱性は、１２日から配布されているアップデートファイル（ｉＯＳ　４．０．２）で解消される。ｉＰｈｏｎｅやｉＰａｄは本体だけではアップデートできず、必ずパソコンに接続して「ｉＴｕｎｅｓ」経由でアップデートする必要がある。できるだけ早くｉＰｈｏｎｅ、ｉＰａｄをパソコンに接続し、ｉＯＳ４．０．２にアップデートしよう。

　ただし旧型モデルのｉＰｈｏｎｅ　３Ｇでは、ｉＯＳ４以上のアップデートをすると動作が遅くなるというネックがある。本来ならｉＰｈｏｎｅ　３Ｇ向けには、ｉＯＳ３でのアップデートを配布するべきだと筆者は考えるが、アップル側ではｉＯＳ４のみを用意している。非常に悩ましいところではあるが、安全のためにｉＯＳ４．０．２にアップデートすることを勧めたい。