【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

2023年11月1日2023年12月25日

当ページのリンクには広告が含まれています。

今回の記事は、

脆弱性について紹介します。

iPhoneのiOSアップデートで「脆弱性」という言葉を見かけたことはありませんか？

例えばこんな文章です。

iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正

iPhoneなどのApple製品にゼロデイの脆弱性

aaa 150x150 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

ママ

見たことあるけど、何のことかさっぱりわかんない。

papy 150x150 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

パパ

セキュリティ関連のアプデ情報に載ってるよね。

1 150x150 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

弟

「ゼロデイ脆弱性」と書かれてるときあるけど脆弱性とどう違うの？

今日はこの脆弱性について初心者にもわかりやすく説明していきます。

あわせて読みたい

iOSとは？iPhoneとAndroidの違いからiOSの歴史まで紹介 iPhoneに搭載されているiOSについての紹介記事です。

脆弱性とは？

脆弱性の概要

「脆弱性」とは一言で表すと、「欠陥」です。

なんの欠陥かというと、「情報セキュリティの欠陥」です。

脆弱性はiPhoneに限った話ではありません。パソコンやAndroidなど、OSやソフトウェア全般で起こりうる情報セキュリティの欠陥のことを脆弱性と呼びます。今回はiPhoneに焦点を当てて紹介しているだけです。

情報セキュリティとは？

簡単に言うと、情報を守る対策のことです。

例えばウィルスの侵入を防ぐセキュリティソフトだったり、ハッキングの被害から守ってくれるiOSのプログラムだったりのことです。

あわせて読みたい

644E8EFC B97F 4B79 AA69 6968B323849A - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

iPhoneのハッキング（乗っ取り）の確認方法【11個】対処法【4個】防止策【11個】まとめ iPhoneがハッキング（乗っ取り）関連のまとめ記事です。確認方法・対処法・防止策全てを網羅できます。

余談ですがバックアップも情報を守る対策に入ります。火事や故障のように物理的な被害が起きたとき、iPhoneのバックアップを取っておくとデータの復旧が見込めますよね。

このようにインターネットにかかわらずiPhoneの情報を守る対策全般を情報セキュリティを呼びます。

冒頭で紹介した文章を置き換えると、以下のようになります。

iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正

iOS16.6.1でスパイウェアPegasusに悪用された情報を守る対策部分の欠陥が修正

つまり情報を守る対策部分に何らかの欠陥があって盾の役割をしていない状態を脆弱性と言います。

keri

iOSのアップデートで「脆弱性の修正」と書かれていたら、盾の役割が復活してより安全になったと思ってください。

あわせて読みたい

.png?fit=300%2C169&ssl=1 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

モバイル保険をiPhone持ちにおすすめする理由。Apple Care＋との比較も徹底解説モバイル保険の紹介記事です。最大10万補償、自己負担なし、3台まで補償可能なうえ月額700円で入れる保険を一番身近なAppleCare＋と比較しました。

ゼロデイ脆弱性とは？

ゼロデイ脆弱性とは、脆弱性が発見されて修正されるまでの期間のことを指します。

iPhoneなどのApple製品にゼロデイの脆弱性

たとえ話で考えるとわかりやすいと思います。

鉄砲の玉も炎も防いでくれる頑丈な盾がありました。盾の製作者もこの盾は最強だと大量販売をして多くの人が使うようになりました。ところがその盾には重大な欠陥がありました。それは雨水に弱いこと。雨水がかかるとたちまちにふやけてしまって使い物になりません。雨がいつ降るかわからない状況の中、慌てて製作者は防水テープを盾に巻き付けて修正し始めました。苦労の結果、雨水にも強い盾ができ、以前盾を購入してくれた人への修正できる防水テープも用意できました。
keriオリジナルストーリー

ここでもう一度ゼロデイ脆弱性とは何かを書いておくと、

ゼロデイ脆弱性とは、脆弱性が発見されて修正される前までの欠陥期間のことを指します。でしたね。

たとえ話に置き換えると、

「脆弱性が発見された」部分にあたるのは、雨水に弱いということが分かった時です。

「修正される前まで」部分にあたるのは、雨水に弱いことが分かって防水テープで修正が完了するまでです。

イラストにするとこんな感じになります。

脆弱性のタイムラグ

脆弱性が発見されてもそれで解決にはなりませんよね。脆弱性は情報セキュリティの欠陥ですから、発見したら修正する必要があります。たいていは数日で修正が完了しますが、それでも発見から修正まで数日のタイムラグが発生してしまいます。

中には、開発者側から脆弱性の発表が行われたのち、脆弱性の修正が行われる場合があります。これはつまり世間に発表したときには脆弱性の修正が行われていないということです。世間に脆弱性の存在を公表したということは、そのニュースをハッキング集団が見る可能性があります。

そして修正が行われる前に実際に攻撃を受けることもあります。この攻撃のことをゼロデイ攻撃と言ったりします。脆弱性の発見から修正までの期間に攻撃されたのでゼロデイ攻撃です。

脆弱性とゼロデイ脆弱性の違い

脆弱性とゼロデイ脆弱性の説明をしてきましたが、両者の違いはどこにあるのでしょうか？

脆弱性は情報セキュリティの欠陥全般のことを指します。修正さえたかどうかの話は関係ありません。情報セキュリティ上の欠陥はすべて脆弱性です。先ほどの盾の話だと「盾は雨水が弱点」という事実が脆弱性です。

ke 150x150 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

夫

弱点的なイメージかな

一方ゼロデイ脆弱性は「脆弱性の発見から修正されるまでの期間」のことを指します。先ほどの盾の話だと「盾は雨水が弱点と分かった時から雨水にも強い盾を作った」前までがゼロデイ脆弱性です。

512f cuMu6L. SL400 - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

MOFT マグネットスマホスタンド MagSafe対応 iPhone 14シリーズ/13シリーズ/iPhone 12シリーズ用カードケース機能フロートタイプ角度調節薄型軽量折り畳み式複合材質内蔵磁石(グレー)

¥3,880 （2023/01/21 00:30時点 | Amazon調べ）

Amazon

楽天市場

Yahooショッピング

ポチップ

あわせて読みたい

241E726F 4F6A 4846 A237 E1AA27BBB67C - 【iPhoneのセキュリティ】脆弱性とは？ゼロデイ脆弱性との違いも解説

【レビュー】MoFTスマホスタンドMagSafe対応（ iPhone）を愛用しすぎて新しい使い道を発見した iPhoneのアクセサリーで大人気のMOFTシリーズ。愛用して8ヶ月、誰も知らない画期的な使い道を見つけました。今回はその使い方を紹介します。

脆弱性で「積極的に悪用された可能性がある」とは？

iOSのアップデート内容で、「積極的に悪用された可能性がある」という文言を見たことはありませんか？

iOS17.0.1のときの分を以下に引用します。

2023 年 9 月 21 日発売

カーネル

対応機種：iPhone XS以降、iPad Pro 12.9インチ第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 第5世代世代以降

影響: ローカルの攻撃者が自分の権限を昇格できる可能性があります。Apple は、この問題が iOS 16.7 より前のバージョンの iOS に対して積極的に悪用された可能性があるという報告を認識しています。
https://support.apple.com/en-us/HT213926日本語訳

これは脆弱性の修正をiOS17.0.1で行ったけど、いろいろ調べたら脆弱性の期間中に実際に攻撃（悪用）を受けた可能性があるということです。

もっとかみ砕くと「誰のiPhoneかわからないけど、弱点狙われて悪用されたかもしれん。」という意味です。この意味はさらに以下のように続きます。「悪用されたのはもうどうすることもできないけど、みんなのiPhoneも弱点むき出しの状態だよ。悪用者に弱点知られてるから、次に悪用されるiPhoneはあなたのやつかもしれんよ！だから早くこの修正アップデート（ここでいうiOS17.0.1)してね！！」という意味になります。