iMessageで来るゼロクリック攻撃

ほぼこもセキュリティニュース By Terilogy Worx

iMessageはiOSのメッセージング機能で、iPhone、iPad、Mac、iPod touchなどのApple製品の端末同士でメッセージをやり取りできます。
そのiMessageを環境として感染するゼロクリック攻撃が観測されています。
感染の様子は次の通りです。

  • 標的のiOSデバイスは、エクスプロイトを含む添付ファイル付きのメッセージをiMessageサービスから受信します。
  • ユーザーの介入を必要とすることなく、受信されたメッセージはコードの実行につながる脆弱性を引き起こします。
  • エクスプロイト内のコードは、権限昇格のための追加のエクスプロイトを含む、後続のいくつかのステージをC&Cサーバーからダウンロードします。
  • 悪用が成功すると、最終的なペイロードがC&Cサーバーからダウンロードします。
  • 最初のメッセージと添付ファイル内のエクスプロイトは削除されます。

以上です。
この攻撃にはユーザがなにか誤った操作をしたことが原因、などというユーザの動作に関連する要素がありません。
単にiMessageでメッセージを受信したことで攻撃が成り立っています。

2023年6月現在、この攻撃が存在していることは確認されていますが、どういった脆弱性を悪用したものであるのかなどの詳細はまだ明らかになっていません。
しかし、システム内の脆弱性を悪用し、ユーザの操作を必要とすることなく、悪意のあるコードの実行を可能にします。

まだ解析中であるため、どのように対策することができるのかの情報もまとまっていませんが、いくつかの兆候についてはわかってきています。

  • この攻撃が実施されている端末では、iOSアップデートをインストールすることができません。
    iOSアップデートがインストールできないからこの攻撃が実施されている端末であるといえるわけではないと思われますが、この攻撃にさらされている端末ではiOSアップデートを実施できません。
  • 悪用されている状態の端末はいくつかの外部への通信を行う状態になります。
    いくつかのドメイン名が使用されることがわかっています。

攻撃の成り立つ必要条件がわかっていないので確かなことは言えませんが、現在確認されている範囲では被害端末のiOSのバージョンは最も新しいものでも15.7となっています。
一方、2023年6月時点でのiOSの最新は16.5です。
この更新によってこの攻撃が前提とする脆弱性が解消されるのかについては定かではありませんが、わたしたち利用者が実施可能な対応はiOSの更新だと思われます。
iOSを更新しようとしたら更新できない状態であることに気が付いた、なんてことにならないとよいのですが。

参考記事(外部リンク):Operation Triangulation: iOS devices targeted with previously unknown malware
securelist.com/operation-triangulation/109842/