何が見つかったの？

• iPhoneやiPadが影響を受ける脆弱性が報告された。脆弱性が確認されたのは標準のメールアプリ(Mobilemail/Maild)。
• 脆弱性悪用によりメール内容の流出や変更、削除が行われる恐れがある。また他の脆弱性を組み合わせた攻撃によりデバイスをのっとられる可能性がある。
• 4月23日時点でゼロデイ（修正方法がない）状態。13.4.5で修正見込み。（ZecOpsが13.4.5β版で修正確認済）
• 脆弱性の報告した企業（ZecOps）によれば少なくとも2年前から攻撃への悪用が確認されている。piyokangoが確認した範囲で4月22日時点で一般に攻撃コード自体は流通していない。

脆弱性にはどう対応したらいい？

• 修正版(13.4.5の予定)がリリースされ次第、iOSを更新する。
• 修正版が出るまでは標準のメールアプリは起動させず、別アプリを使って読むようにする。

私のiPhoneは影響を受けるの？

• 4月22日時点で最新のiOS(13.4.1)も影響を受ける。
• ZecOpsはiOS 6(2012年9月リリース)以降のバージョンが影響を受けることを確認。（それよりも前のバージョンは未検証）
• 他のメールアプリ（OutlookやGmailなど）やmacOSは脆弱性の影響を受けない。

どうやって攻撃されるの？

• メールを送るだけというシンプルな方法で攻撃が可能。攻撃対象が操作する必要がほぼない。（添付ファイルを開かせる等）

1. 攻撃者が特別な細工をしたメールを攻撃対象に送り付ける。
2. 細工されたメールがiPhoneやiPadのメールアプリで読み込まれると攻撃のトリガーが成立する。

• タップやクリックの必要なく攻撃できることから、ZecOpsは0-Clickと呼称している。
• ZecOpsは細工(マルチパート等の利用)次第で大容量のサイズのメールを送る必要はないとも答えている。

使っていて攻撃を受けたかはわかる？

• 一時的な速度低下やアプリのクラッシュ等が発生するものの、利用者が攻撃を受けたと気付くのは相当難しいとみられる。
• 攻撃に失敗した際、iOS13の場合は複数回試行できるのに対し、iOS12では新規に受信したメールを再度開く必要がある。
• 攻撃前後に際し、バージョンによって挙動の違いが若干みられる。

• ZecOpsのブログではIOCの情報が掲示されている。

どんな脆弱性なの？

今回の調査を通じ、2つの（未修正の）脆弱性が発見された。

1. mmapのOut-of-bounds Write（リモートでの攻撃には別の脆弱性が必要）
2. MFMutableのHeap-based Buffer Overflow（リモートでの攻撃が可能）

• デバイスの完全な掌握には別のカーネルの脆弱性を悪用する必要がある。攻撃者は別の脆弱性をさらに保有していた可能性があるとして調査が進められている。
• 攻撃成功のためにASLRバイパス(メモリ上よりアドレス情報を取得)が必要。(今回の調査ではこの脆弱性の調査は行われていない。)
• 1つ目の脆弱性を悪用せず、2つ目の脆弱性を悪用することが可能だという。確認された攻撃ではOOBWは誤って実行されていたとされ、2つ目のヒープオーバーフローが目的だったのではとZecOpsは指摘。

脆弱性情報のソースは？

• 発見者であるZecOps社が今回の調査結果を開示している。
• またZecOpsの報告資料を元に取材した記事をWSJやロイターなども報じている。*1 *2

blog.zecops.com

誰が見つけたの？

You’ve Got (0-click) Mail! Unassisted iOS Attacks via MobileMail/Maild in the Wild via @ZecOps Blog https://t.co/tHbq1ZUuom

— ZecOps (@ZecOps) 2020年4月22日

• 発見したのは米サンフランシスコにあるサイバーセキュリティ事業のスタートアップ企業「ZecOps」
• iOS11.2.2の利用者を対象とした定期的なiOSのデジタルフォレンジック、及びインシデントレスポンスの調査を通じ発見した。
• 2019年夏、秋に顧客のiPhone上で不審なクラッシュ事象が発生しておりこれを調査していた。
• 2020年2月19日以降、脆弱性に関連する調整作業が開始されている。
• 4月22日に公開した理由について、このバグだけでデバイス掌握ができないこと、そしてパッチが適用されたβ版が既に公開されていること、限られた調査だけでも6つの組織が影響を受けており速やかな修正版提供の必要があることなどを挙げている。

既に攻撃が発生しているの？

調査を通じ、ZecOpsは以下見解を示している。

• 脆弱性を悪用した標的型攻撃は遅くとも2年(2018年1月以降)は続いている。（それ以前から発生していた可能性もある）
• 少なくとも1つの国家支援による脅威アクターの関与の可能性がある。
• サードパーティのリサーチャーからExploitを購入し、そのまま/あるいは微修正を加えた攻撃コードを利用
• 攻撃対象とされたiPhone上では問題のメールそのものは発見できなかった。ZecOpsは攻撃者が削除した可能性を指摘している。

ZecOpsが把握した今回の脆弱性の標的となった企業は6つ。具体的な企業名や特定した方法は明らかにされていない。

• Fortune 500に含まれる北米企業の個人
• 日本の通信キャリアの幹部
• ドイツのＶＩＰ
• サウジアラビア、イスラエルの複数のテクノロジー関連企業
• 欧州出身のジャーナリスト
• スイス企業の幹部 (攻撃の疑いあり)

恐怖、珍しいと評価、悪用にリスクありとコメントも

ZecOpsの報告書について報道を通じ、複数の専門家がコメントしている。

• Jamf software社のPatrick Wardle氏は同社の報告内容についてAppleがセキュリティ上の重大な問題を抱えていることは確かだが、攻撃が続いていることに関して決定的な状況ではないと指摘。
• Citizen LabのBill Marczak氏はシンプルにこの脆弱性を恐怖だと評価している。
• Trail of Bits社の DanGuido氏はiOSとモバイル端末ではめったに見られないものだとコメント。
• Motherboradの記事では特大サイズのメールは遮断される可能性があるため、洗練された攻撃ではないといった評価もある。同社の取材に答えた退役軍人は諜報機関で今回のバグを高価値の標的に使用するにはリスクが高いとみなすとする見解を述べている。

Appleの反応

AppleはZecOpsの報告に対し、22日、23日に見解を表明。

• iOSに搭載された標準のメールアプリに脆弱性があることは事実であり修正アップデートを配布予定。
• ZecOpsの報告内容を徹底的に調査したものの、提供情報に基づいてデバイス使用者にリスクが直ちに及ぶことはないと結論。
• メールアプリには3つの問題が指摘されているが、これだけでデバイスのセキュリティ機構を回避することはできない。
• 顧客へ損害を与えるため悪用された形跡は全く見つかっていないとZecOps社の悪用報告を否定。

Apple responds to ZecOps report on Mail app vulnerabilities, says it doesn’t pose immediate risk and software update coming. pic.twitter.com/z4ExrmVfK8

— Mark Gurman (@markgurman) 2020年4月24日

更新履歴

• 2020年4月23日 AM 新規作成
• 2020年4月26日 AM Apple側の反応を追記