【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説

当ページのリンクには広告が含まれています。
【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説
スポンサーリンク

今回の記事は

脆弱性について紹介します。

iPhoneのiOSアップデートで「脆弱性」という言葉を見かけたことはありませんか?

例えばこんな文章です。

iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正

iPhoneなどのApple製品にゼロデイの脆弱性

aaa 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説ママ

見たことあるけど、何のことかさっぱりわかんない。

papy 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説パパ

セキュリティ関連のアプデ情報に載ってるよね。

名称未設定のデザイン 1 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説

「ゼロデイ脆弱性」と書かれてるときあるけど脆弱性とどう違うの?

今日はこの脆弱性について初心者にもわかりやすく説明していきます。

目次

脆弱性とは?

脆弱性の概要

「脆弱性」とは一言で表すと、「欠陥」です。

なんの欠陥かというと、「情報セキュリティの欠陥」です。

脆弱性はiPhoneに限った話ではありません。パソコンやAndroidなど、OSやソフトウェア全般で起こりうる情報セキュリティの欠陥のことを脆弱性と呼びます。今回はiPhoneに焦点を当てて紹介しているだけです。

情報セキュリティとは?

iPhoneのセキュリティで脅威から守る

簡単に言うと、情報を守る対策のことです

例えばウィルスの侵入を防ぐセキュリティソフトだったり、ハッキングの被害から守ってくれるiOSのプログラムだったりのことです。

余談ですがバックアップも情報を守る対策に入ります。火事や故障のように物理的な被害が起きたとき、iPhoneのバックアップを取っておくとデータの復旧が見込めますよね。

このようにインターネットにかかわらずiPhoneの情報を守る対策全般を情報セキュリティを呼びます。

冒頭で紹介した文章を置き換えると、以下のようになります。

iOS16.6.1でスパイウェアPegasusに悪用された脆弱性が修正

iOS16.6.1でスパイウェアPegasusに悪用された情報を守る対策部分の欠陥が修正

つまり情報を守る対策部分に何らかの欠陥があって盾の役割をしていない状態を脆弱性と言います。

keri happy png 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説keri

iOSのアップデートで「脆弱性の修正」と書かれていたら、盾の役割が復活してより安全になったと思ってください。

ゼロデイ脆弱性とは?

ゼロデイ脆弱性とは、脆弱性が発見されて修正されるまでの期間のことを指します。

iPhoneなどのApple製品にゼロデイの脆弱性

たとえ話で考えるとわかりやすいと思います。

ゼロデイ脆弱性

鉄砲の玉も炎も防いでくれる頑丈な盾がありました。盾の製作者もこの盾は最強だと大量販売をして多くの人が使うようになりました。ところがその盾には重大な欠陥がありました。それは雨水に弱いこと。雨水がかかるとたちまちにふやけてしまって使い物になりません。雨がいつ降るかわからない状況の中、慌てて製作者は防水テープを盾に巻き付けて修正し始めました。苦労の結果、雨水にも強い盾ができ、以前盾を購入してくれた人への修正できる防水テープも用意できました。

keriオリジナルストーリー
スポンサーリンク

ここでもう一度ゼロデイ脆弱性とは何かを書いておくと、

ゼロデイ脆弱性とは、脆弱性が発見されて修正される前までの欠陥期間のことを指します。でしたね。

たとえ話に置き換えると、

「脆弱性が発見された」部分にあたるのは、雨水に弱いということが分かった時です。

「修正される前まで」部分にあたるのは、雨水に弱いことが分かって防水テープで修正が完了するまでです。

イラストにするとこんな感じになります。

ゼロデイ脆弱性1

脆弱性のタイムラグ

脆弱性が発見されてもそれで解決にはなりませんよね。脆弱性は情報セキュリティの欠陥ですから、発見したら修正する必要があります。たいていは数日で修正が完了しますが、それでも発見から修正まで数日のタイムラグが発生してしまいます。

中には、開発者側から脆弱性の発表が行われたのち、脆弱性の修正が行われる場合があります。これはつまり世間に発表したときには脆弱性の修正が行われていないということです。世間に脆弱性の存在を公表したということは、そのニュースをハッキング集団が見る可能性があります。

そして修正が行われる前に実際に攻撃を受けることもあります。この攻撃のことをゼロデイ攻撃と言ったりします。脆弱性の発見から修正までの期間に攻撃されたのでゼロデイ攻撃です。

脆弱性とゼロデイ脆弱性の違い

脆弱性とゼロデイ脆弱性の説明をしてきましたが、両者の違いはどこにあるのでしょうか?

脆弱性は情報セキュリティの欠陥全般のことを指します。修正さえたかどうかの話は関係ありません。情報セキュリティ上の欠陥はすべて脆弱性です。先ほどの盾の話だと「盾は雨水が弱点」という事実が脆弱性です。

ke 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説

弱点的なイメージかな

一方ゼロデイ脆弱性は「脆弱性の発見から修正されるまでの期間」のことを指します。先ほどの盾の話だと「盾は雨水が弱点と分かった時から雨水にも強い盾を作った」前までがゼロデイ脆弱性です。

脆弱性で「積極的に悪用された可能性がある」とは?

iOSのアップデート内容で、「積極的に悪用された可能性がある」という文言を見たことはありませんか?

iOS17.0.1のときの分を以下に引用します。

2023 年 9 月 21 日発売

カーネル

対応機種:iPhone XS以降、iPad Pro 12.9インチ 第2世代以降、iPad Pro 10.5インチ、iPad Pro 11インチ 第1世代以降、iPad Air 第3世代以降、iPad 第6世代以降、iPad mini 第5世代世代以降

影響: ローカルの攻撃者が自分の権限を昇格できる可能性があります。Apple は、この問題が iOS 16.7 より前のバージョンの iOS に対して積極的に悪用された可能性があるという報告を認識しています。

https://support.apple.com/en-us/HT213926日本語訳

これは脆弱性の修正をiOS17.0.1で行ったけど、いろいろ調べたら脆弱性の期間中に実際に攻撃(悪用)を受けた可能性があるということです。

もっとかみ砕くと「誰のiPhoneかわからないけど、弱点狙われて悪用されたかもしれん。」という意味です。この意味はさらに以下のように続きます。「悪用されたのはもうどうすることもできないけど、みんなのiPhoneも弱点むき出しの状態だよ。悪用者に弱点知られてるから、次に悪用されるiPhoneはあなたのやつかもしれんよ!だから早くこの修正アップデート(ここでいうiOS17.0.1)してね!!」という意味になります。

tana profile png 1 150x150 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説keri

セキュリティ修正のアップデートの大切さが分かるね

649C347D 7A6E 4EA3 82AE 57767033ED25 - 【iPhoneのセキュリティ】脆弱性とは?ゼロデイ脆弱性との違いも解説

スマホのカメラで撮るだけでお薬手帳など医療情報をデータ化できる有能アプリ!

パシャっとカルテ

パシャっとカルテ-結果を写真で撮るだけでグラフ化
パシャっとカルテ-結果を写真で撮るだけでグラフ化
開発元:ARTERYEX
無料
posted withアプリーチ

イラスト1枚とスマホで誰でもVtuberに!

IRIAM(イリアム)

IRIAM(イリアム) - 新感覚Vtuberアプリ
IRIAM(イリアム) – 新感覚Vtuberアプリ
開発元:IRIAM Inc.
無料
posted withアプリーチ

Sponsored by IRIAM Inc.

Sponsored by IRIAM Inc.

質良し、価格良し、口コミ良しの写真アプリの決定版!

アルバス(ALBUS)

アルバス 写真プリントで残す家族アルバム。アルバム作成で整理
アルバス 写真プリントで残す家族アルバム。アルバム作成で整理
開発元:ROLLCAKE Inc.
無料
posted withアプリーチ

↓その他下記にまとめてます!↓

スポンサーリンク
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA


目次