「iCloud」のパスワード盗難につながる可能性のある、Appleデバイスに対する攻撃を再現した概念実証コードをセキュリティ研究者が公表した。
この概念実証コードは「iOS」のメールクライアント内に見つかった脆弱性について説明するもので、GitHubでホストされている。同研究者によれば、このバグは電子メールメッセージ内の潜在的に危険なコード(特定のHTMLタグなど)が除去されないというもので、これを利用すると、リモートのHTMLコンテンツを読み込み、元の電子メールの内容を悪質なものに置き換えることが可能になる。
この概念実証コードで再現されている電子メールのメッセージは、被害者に送られると、iCloudのパスワード入力ダイアログと同じ見た目のフォームを表示する。電子メールが開かれ、被害者が認証情報を入力すると、それらの情報は攻撃者に盗まれてしまう。
アカウントの認証情報は、カスタマイズされたリモートサーバに送られ、テキストファイルに保存されて、その後サーバを制御しているユーザーの電子メールアドレスに送信される。
この攻撃に必要なのは、偽のプロンプトを表示するコードをホストするサーバと、iOSユーザーをだますmetaタグが仕込まれた電子メールだけだ。AppleのOSは不規則にログインプロンプトを表示する場合があることで知られており、問題が修正されない場合、この種の高度なフィッシング詐欺は大きな被害をもたらす可能性がある。
同研究者は、「このUIWebViewではJavaScriptは無効になっているが、それでも簡単なHTMLとCSSを使って、実際に機能するパスワード収集の仕組みを作ることができる」と述べている。
この攻撃コードには、ユーザーに疑われるのを避けるため、被害者がすでにメッセージを閲覧しているかどうかを検知し、パスワードプロンプトを何度も表示するのを避ける機能が含まれている。また、被害者がフィールドにパスワードを入力し、OKボタンをクリックした後、ログインダイアログを隠すために、「autofocus」と呼ばれる関数が使われている。
同研究者によれば、この脆弱性を発見したのは2015年1月だったが、最新バージョンのiOSでもこの脆弱性は修正されていない。発見から6カ月経過し、iOSバージョン8.1.2以降のアップデートでもこの脆弱性が修正されないことから、オンライン上でこの概念実証コードを公開することにしたという。
Appleの広報担当者は、「Appleは顧客がこの概念実証コードの影響を受けた事例は確認していないが、今後のソフトウェアアップデートでの修正公開に向けて取り組んでいる」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
