政府機関などにハッキングツールを提供するスペインのサイバーセキュリティー企業が、旧型の「iPhone」に搭載されているアップル製チップの脆弱(ぜいじゃく)性の詳細を公開したと発表しました。この脆弱性は修正が不可能とされており、端末の制限を解除するハッキング手法につながる恐れがあるということです。
スペインのバルセロナに拠点を置くサイバーセキュリティー企業「パラダイム・シフト(Paradigm Shift)」は、この脆弱性を「usbliter8」と名付け、ブログで詳細を明らかにしました。同時に、対象となる端末に物理的に接続して脆弱性を悪用する実証データも公開しています。
影響を受けるのは、2018年と2019年に発売されたアップル製のチップ「A12」および「A13」を搭載した端末です。具体的には、「iPhone XS」や「iPhone XR」から「iPhone 11」までの旧型モデルが対象となります。
同社によりますと、この脆弱性はiPhoneの電源を入れた際に最初に実行される「ブートROM」と呼ばれるプログラムに存在しています。ブートROMはハッカーに対する最初の防衛線となる重要な部分ですが、チップに直接書き込まれているため、後から修正プログラムを適用して欠陥を直すことができないということです。
この脆弱性が公開されたことで、政府機関やその委託業者などの専門家が、他の脆弱性と組み合わせることで新たなハッキング手法を開発する可能性が高まりました。これにより、アップルが設けているシステムの制限を強制的に解除する、いわゆる「脱獄(ジェイルブレイク)」と呼ばれる手法の確立につながる恐れがあります。
パラダイム・シフト社は、「この脆弱性は変更不可能なコードに存在するため、影響を受ける利用者はより新しい端末に移行することが最も効果的な対策になる」としています。
一方で、この手法を悪用するにはケーブルを使って端末に直接接続する必要があり、さらに利用者のデータにアクセスするためには別の技術も必要となるため、直ちに誰もが簡単にハッキングできるわけではないということです。捜査機関向けにデータ抽出システムを提供する企業などは、すでに同様の技術を保有しているとみられています。
近年、iPhoneのセキュリティーは極めて強固になっており、脆弱性の情報が一般に公開されることはまれです。しかし今回の発表は、高度な技術を持つハッカーが利用できる抜け穴が依然として存在することを示すものとなっています。なお、パラダイム・シフト社は、今回の件に関するメディアからの質問には回答していません。
