今回の記事は、
脆弱性について紹介します。
iPhoneのiOSアップデートで「脆弱性」という言葉を見かけたことはありませんか?
例えばこんな文章です。
iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正
iPhoneなどのApple製品にゼロデイの脆弱性
見たことあるけど、何のことかさっぱりわかんない。
セキュリティ関連のアプデ情報に載ってるよね。
「ゼロデイ脆弱性」と書かれてるときあるけど脆弱性とどう違うの?
今日はこの脆弱性について初心者にもわかりやすく説明していきます。
脆弱性とは?
脆弱性の概要
「脆弱性」とは一言で表すと、「欠陥」です。
なんの欠陥かというと、「情報セキュリティの欠陥」です。
脆弱性はiPhoneに限った話ではありません。パソコンやAndroidなど、OSやソフトウェア全般で起こりうる情報セキュリティの欠陥のことを脆弱性と呼びます。今回はiPhoneに焦点を当てて紹介しているだけです。
情報セキュリティとは?
簡単に言うと、情報を守る対策のことです。
例えばウィルスの侵入を防ぐセキュリティソフトだったり、ハッキングの被害から守ってくれるiOSのプログラムだったりのことです。
余談ですがバックアップも情報を守る対策に入ります。火事や故障のように物理的な被害が起きたとき、iPhoneのバックアップを取っておくとデータの復旧が見込めますよね。
このようにインターネットにかかわらずiPhoneの情報を守る対策全般を情報セキュリティを呼びます。
冒頭で紹介した文章を置き換えると、以下のようになります。
iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正
iOS16.6.1でスパイウェアPegasusに悪用された情報を守る対策部分の欠陥が修正
つまり情報を守る対策部分に何らかの欠陥があって盾の役割をしていない状態を脆弱性と言います。
iOSのアップデートで「脆弱性の修正」と書かれていたら、盾の役割が復活してより安全になったと思ってください。
ゼロデイ脆弱性とは?
ゼロデイ脆弱性とは、脆弱性が発見されて修正されるまでの期間のことを指します。
iPhoneなどのApple製品にゼロデイの脆弱性
たとえ話で考えるとわかりやすいと思います。
鉄砲の玉も炎も防いでくれる頑丈な盾がありました。盾の製作者もこの盾は最強だと大量販売をして多くの人が使うようになりました。ところがその盾には重大な欠陥がありました。それは雨水に弱いこと。雨水がかかるとたちまちにふやけてしまって使い物になりません。雨がいつ降るかわからない状況の中、慌てて製作者は防水テープを盾に巻き付けて修正し始めました。苦労の結果、雨水にも強い盾ができ、以前盾を購入してくれた人への修正できる防水テープも用意できました。
keriオリジナルストーリー
ここでもう一度ゼロデイ脆弱性とは何かを書いておくと、
ゼロデイ脆弱性とは、脆弱性が発見されて修正される前までの欠陥期間のことを指します。でしたね。
たとえ話に置き換えると、
「脆弱性が発見された」部分にあたるのは、雨水に弱いということが分かった時です。
「修正される前まで」部分にあたるのは、雨水に弱いことが分かって防水テープで修正が完了するまでです。
イラストにするとこんな感じになります。
脆弱性のタイムラグ
脆弱性が発見されてもそれで解決にはなりませんよね。脆弱性は情報セキュリティの欠陥ですから、発見したら修正する必要があります。たいていは数日で修正が完了しますが、それでも発見から修正まで数日のタイムラグが発生してしまいます。
中には、開発者側から脆弱性の発表が行われたのち、脆弱性の修正が行われる場合があります。これはつまり世間に発表したときには脆弱性の修正が行われていないということです。世間に脆弱性の存在を公表したということは、そのニュースをハッキング集団が見る可能性があります。
そして修正が行われる前に実際に攻撃を受けることもあります。この攻撃のことをゼロデイ攻撃と言ったりします。脆弱性の発見から修正までの期間に攻撃されたのでゼロデイ攻撃です。
脆弱性とゼロデイ脆弱性の違い
脆弱性とゼロデイ脆弱性の説明をしてきましたが、両者の違いはどこにあるのでしょうか?
脆弱性は情報セキュリティの欠陥全般のことを指します。修正さえたかどうかの話は関係ありません。情報セキュリティ上の欠陥はすべて脆弱性です。先ほどの盾の話だと「盾は雨水が弱点」という事実が脆弱性です。
弱点的なイメージかな
一方ゼロデイ脆弱性は「脆弱性の発見から修正されるまでの期間」のことを指します。先ほどの盾の話だと「盾は雨水が弱点と分かった時から雨水にも強い盾を作った」前までがゼロデイ脆弱性です。
脆弱性で「積極的に悪用された可能性がある」とは?
iOSのアップデート内容で、「積極的に悪用された可能性がある」という文言を見たことはありませんか?
iOS17.0.1のときの分を以下に引用します。
2023 年 9 月 21 日発売
カーネル
対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 第5世代世代以降
影響: ローカルの攻撃者が自分の権限を昇格できる可能性があります。Apple は、この問題が iOS 16.7 より前のバージョンの iOS に対して積極的に悪用された可能性があるという報告を認識しています。
https://support.apple.com/en-us/HT213926日本語訳
これは脆弱性の修正をiOS17.0.1で行ったけど、いろいろ調べたら脆弱性の期間中に実際に攻撃(悪用)を受けた可能性があるということです。
もっとかみ砕くと「誰のiPhoneかわからないけど、弱点狙われて悪用されたかもしれん。」という意味です。この意味はさらに以下のように続きます。「悪用されたのはもうどうすることもできないけど、みんなのiPhoneも弱点むき出しの状態だよ。悪用者に弱点知られてるから、次に悪用されるiPhoneはあなたのやつかもしれんよ!だから早くこの修正アップデート(ここでいうiOS17.0.1)してね!!」という意味になります。
セキュリティ修正のアップデートの大切さが分かるね
スマホのカメラで撮るだけでお薬手帳など医療情報をデータ化できる有能アプリ!
パシャっとカルテ
イラスト1枚とスマホで誰でもVtuberに!
IRIAM(イリアム)
Sponsored by IRIAM Inc.
Sponsored by IRIAM Inc.
質良し、価格良し、口コミ良しの写真アプリの決定版!
アルバス(ALBUS)
↓その他下記にまとめてます!↓
コメント