「iOS」のメールクライアントに脆弱性--「iCloud」パスワード盗難の可能性

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2015-06-12 10:59

 「iCloud」のパスワード盗難につながる可能性のある、Appleデバイスに対する攻撃を再現した概念実証コードをセキュリティ研究者が公表した。

 この概念実証コードは「iOS」のメールクライアント内に見つかった脆弱性について説明するもので、GitHubでホストされている同研究者によれば、このバグは電子メールメッセージ内の潜在的に危険なコード(特定のHTMLタグなど)が除去されないというもので、これを利用すると、リモートのHTMLコンテンツを読み込み、元の電子メールの内容を悪質なものに置き換えることが可能になる。

 この概念実証コードで再現されている電子メールのメッセージは、被害者に送られると、iCloudのパスワード入力ダイアログと同じ見た目のフォームを表示する。電子メールが開かれ、被害者が認証情報を入力すると、それらの情報は攻撃者に盗まれてしまう。


 アカウントの認証情報は、カスタマイズされたリモートサーバに送られ、テキストファイルに保存されて、その後サーバを制御しているユーザーの電子メールアドレスに送信される。

 この攻撃に必要なのは、偽のプロンプトを表示するコードをホストするサーバと、iOSユーザーをだますmetaタグが仕込まれた電子メールだけだ。AppleのOSは不規則にログインプロンプトを表示する場合があることで知られており、問題が修正されない場合、この種の高度なフィッシング詐欺は大きな被害をもたらす可能性がある。

 同研究者は、「このUIWebViewではJavaScriptは無効になっているが、それでも簡単なHTMLとCSSを使って、実際に機能するパスワード収集の仕組みを作ることができる」と述べている。

 この攻撃コードには、ユーザーに疑われるのを避けるため、被害者がすでにメッセージを閲覧しているかどうかを検知し、パスワードプロンプトを何度も表示するのを避ける機能が含まれている。また、被害者がフィールドにパスワードを入力し、OKボタンをクリックした後、ログインダイアログを隠すために、「autofocus」と呼ばれる関数が使われている。

 同研究者によれば、この脆弱性を発見したのは2015年1月だったが、最新バージョンのiOSでもこの脆弱性は修正されていない。発見から6カ月経過し、iOSバージョン8.1.2以降のアップデートでもこの脆弱性が修正されないことから、オンライン上でこの概念実証コードを公開することにしたという。

 Appleの広報担当者は、「Appleは顧客がこの概念実証コードの影響を受けた事例は確認していないが、今後のソフトウェアアップデートでの修正公開に向けて取り組んでいる」と述べている。


この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]