［米国］
iPhoneにセキュリティ上の脆弱性――MailとSafariで発覚

フィッシング詐欺やスパム攻撃に遭うおそれ

（2008年07月24日）

　米国Appleの携帯端末「iPhone」に搭載されている電子メール・アプリケーション「Mail」とWebブラウザ「Safari」で、セキュリティ上の脆弱性が複数発見された。これらが悪用されれば、ユーザーがフィッシング詐欺に遭ったり、ジャンク・メールを大量に送付されたりする可能性があるという。

　これらの脆弱性を発見したのは、Webブラウザの脆弱性研究で知られるアビブ・ラフ（Aviv Raff）氏。同氏は7月23日、バグの存在をブログで明らかにした。

AppleはiPhone向けのセキュリティ・アップデートを7月11日に実施したばかりだ

　Raff氏はおよそ2週間前、3種類のバグ（iPhone Mailのバグ2種類とSafariのバグ1種類）に関する情報をAppleに提供した。しかしApple側は、Mailに含まれる2種類の脆弱性がセキュリティ問題であることは認めたものの、Safariの不具合がセキュリティ・バグの基準に適合するかどうかについては留保しているという。

　Appleはかねてから、ソフトウェアの問題をセキュリティ上の脆弱性と認めることに消極的である。いわゆる「じゅうたん爆撃（Carpet Bomb）」を招くバグが今年5月にSafariで発見されたときも、Appleは当初、セキュリティ問題ではないとの見解を示していた。それから1カ月後、同社はじゅうたん爆撃を防ぐ目的でSafari用のパッチをリリースしている。

　Raff氏はiPhoneの脆弱性について、ブログで次のように指摘している。「特別に作成したURLを用意し、電子メールを使ってそれを送信することで、攻撃者は、このURLがあたかも銀行やPayPal、ソーシャル・ネットワークなどの信頼できるドメインのものであると錯覚させることが可能になる。このURLをクリックして、Safariのアドレス・バーを見ても、信頼できるドメインにしか見えない」

　同氏は、パッチがリリースされるまでの対策として、電子メールのメッセージに張り付けられているリンクをクリックしないよう呼びかけている。また、スパムを避けるため、iPhone Mailの使用を完全にやめることも勧めている。

　IM（インスタント・メッセージ）を通じてComputerworld米国版の取材に応じたRaff氏は、この問題に対応するパッチをAppleがリリースするまで今回の脆弱性に関する技術情報は明らかにできないと語った。また、MailとSafariのバグがプロトコル・ハンドラの問題にかかわっているのかという質問には、「関係ない……いや、ちょっと違う。ほとんど関係ない」という微妙な表現に終始した。

　Raff氏によると、Mailに含まれるスパム関係のバグは非常に初歩的なものだが、スパムに対する電子メール・アカウントの脆弱性を高める可能性があるという。このバグについても、同氏はそれ以上の詳細な内容は明らかにしなかった。

　スパム関係のバグはMailの他のバージョンでも明らかになっている（Mac OS Xには、より高機能のバージョンが搭載されている）。ただし、他のバージョンではすでにパッチがリリースされている。

　Ruff氏が指摘した3種類のバグは、iPhoneファームウェアのバージョン1.1.4と、最近リリースされたバージョン2.0に含まれている。同氏によると、この脆弱性につけ込むのはきわめて容易であり、攻撃の可能性を示す概念実証コードもすでに作成したという。

　なお、Raff氏から提供された情報の確認をAppleに求めたが、同社から回答は得られなかった。

(Gregg Keizer／Computerworld米国版)