はい、みなさん、こんにちは!
いつも act2 メルマガをご覧いただき、誠にありがとうございます。
さて、今回のこのタイトル、気になりますよねぇ。
ちょっと長いですが、ぜひご参考になさってください。
(この記事は、2023年5月19日にKirk McElhearn(https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/)およびJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたWhen does an old iPhone become unsafe to use?の翻訳です)
新しいiPhoneが出るたびに、その新しいカメラや新しい機能をいち早く入手しようと、毎年iPhoneをアップグレードする人達がいます。でも、ほとんどのiPhoneユーザは新しいiPhoneに買い換えるまで数年間は同じiPhoneを使い続けるのが普通でしょう。iPhoneの基本的な機能しか使っていない人にとって最新機能の多くは無用の長物だし、壊れたりバッテリの寿命が来たら買い替えを検討する方針の人もいるでしょう。なんならバッテリ容量が著しく落ちてもAppleが適正価格で交換してくれるのですから、ずっと同じiPhoneを使い続けようと考える人もいるでしょう。
しかし、あまりに長期間に渡ってiPhoneを使い続けるとセキュリティを危険に晒す可能性があるという事実も知っておく必要があります。特に最新のApple iOSオペレーティングシステムを実行できないiPhoneの場合、重要なセキュリティアップデートの多くが適用されないので危険性が増大します。
この記事では、古いiPhoneを使い続けることの危険性を説明し、2023年に購入できる安全なiPhoneモデルについて触れたいと思います。
セキュリティアップデートを適用しないことの危険性: ゼロデーおよびゼロクリック脆弱性Appleはその全てのプラットフォームに対して定期的にセキュリティアップデートを提供していますが、その中には実際に悪用されている深刻な“ゼロデー脆弱性”に対するパッチが含まれています。これは単に技術的に危険な可能性がある脆弱性ではなく、アップデートを適用していない全ての端末が犯罪者にハッキングされる可能性があるということです。多くのユーザはこうした問題をあまり気にしませんが、お使いのiPhoneにセキュリティアップデートを適用しないまま放置することの危険性は現実に存在しています。
ゼロデー脆弱性ゼロデー脆弱性の中で最も注意しなければならないのが、“ゼロクリック”脆弱性です。この種の脆弱性は、オペレーティングシステムの弱点を利用して端末をハッキングします — そのためユーザに何か操作をさせる必要もありません。騙してAppを起動させたり、Webサイトへのリンクをタップさせる必要がないのです。こうした攻撃の多くは、例えばメッセージAppやメールAppでWebページや写真のプレビューを表示しただけで発動します。
ゼロクリック攻撃では、ロック画面のままの完全にロックされた状態の端末でも感染が可能です。NSO GroupのPegasusスパイウェアが、政治家、ジャーナリスト、そして活動家のiPhoneを標的にしたその攻撃でゼロクリック攻撃を利用したことは有名です。なお、こうした攻撃のほとんどは、特定の人が所有する端末をハッキングして情報を取得することを目的としています{Pegasus( https://www.intego.com/mac-security-blog/topic/pegasus/ )およびゼロクリック攻撃( https://www.intego.com/mac-security-blog/?s=zero-click )に関する過去の記事も参照ください}。
ですから、多くの平均的なユーザはPegasusや同種の国民国家によるスパイウェアの危険性を気にする必要はありません。しかし、遅かれ早かれPegasusや他のスパイウェアが利用している脆弱性の詳細が明らかになります(Appleもパッチした脆弱性のほとんどについて詳細を公開していますし、専門家はAppleのパッチをリバースエンジニアリングして脆弱性がどのように修正されたのか、そしてパッチされていない端末がどのようにハッキングされるかを調べています)。言うなれば、今は国民国家の攻撃者だけが悪用している脆弱性も明日には全てのサイバー犯罪者の武器になり得るのです。そうなると、お使いのiPhoneや他のApple端末が最新の状態でなければ、拡散する攻撃に晒される危険性も出てきます。
全てのiOSブラウザに影響するWebKitの脆弱性Appleのセキュリティアップデートによるパッチには、Safari Webブラウザが使用するレンダリングエンジンであるWebKitに関係するものもあります。ご存知ないかも知れませんが、iOS 16ではiOSとiPadOS上のすべてのサードパーティ製ブラウザもWebKitを使っています。AppleのApp Storeポリシーでは、FirefoxやChromeなどのブラウザが独自エンジンを採用することを禁止しています{iOS 17では、AppleがサードパーティのAppストアを容認するよう強制的に方針転換させられる可能性がありますが、そうなると話は違ってくるでしょう( https://www.intego.com/mac-security-blog/if-apple-allows-sideloading-in-ios-17-how-will-iphone-security-be-affected/ )}。
お使いのiOSのバージョンが最新でないということは、乗っ取られているサイトや犯罪を目的とするサイトをお使いのiPhoneで閲覧するだけで、あるいはリッチWebコンテンツが埋め込まれた悪意のある電子メールを表示しただけでハッキングされる危険性もあります。
Appleのパッチポリシーが与えるセキュリティに関する誤解Appleは、その全ての端末で現行のオペレーティングシステムに対して定期的にセキュリティアップデートを提供しています。そして、まれに古いオペレーティングシステムに対してもセキュリティアップデートを提供することがあるのですが、こうしたアップデートでは全ての脆弱性がパッチされるわけではないという事実に注意しておいてください( https://act2blog.blogspot.com/2022/06/apple.html )。最新のオペレーティングシステムに存在する脆弱性が過去のオペレーティングシステムには存在しないという場合を除けば、Appleが最新パッチを古いシステムには適用しないと決定したということなのです)。
Appleのどの端末であれ、古いバージョンのオペレーティングシステムを使い続けるのは危険です。そしてお使いのAppleの端末が2世代以上前のオペレーティングシステムを実行しているなら、多くの場合でAppleはアップデートの提供をほぼ終了しているか完全に終了しているため、その危険性は増大すると言えます。
残念なことに、Appleはこうしたパッチポリシーをユーザに対して明らかにしていません。例えば、iPhone 7はiOS 16を実行できませんが、iOS 15用のセキュリティパッチは提供されています。弊社のブログを読んでいるなら、iOS 15には全てのパッチが提供されておらず、iOS 16より安全性が劣ることを知っているでしょう。最近の例で言うと、iOS 16には実際に悪用されている2つの脆弱性に対する緊急セキュリティ対応が提供されましたが( https://www.intego.com/mac-security-blog/apple-issues-first-rapid-security-response-for-macos-ios-ipados/ )、iOS 15に同様の脆弱性パッチが出るまで一週間以上かかりました。そして iOS 15がパッチされはしましたが、iOS 15のパッチに含まれているセキュリティ修正はiOS 16の該当アップデートの半分程度だったのです( https://www.intego.com/mac-security-blog/urgent-patches-macos-ventura-13-4-ios-16-5-fix-3-actively-exploited-vulns/ )。
語弊を恐れずに言えば、Appleは現行の一つ前のバージョンのOSに対して不完全なパッチを提供することで、まだ危険があるのにもう安全であるとのセキュリティに対する間違った認識を一部のユーザに対して与えています。同じことがiOS 15だけでなくiPadOS 15、およびmacOS Montereyにも言えます。そして、iOS 16、iPadOS 16、およびmacOS Venturaを置き換える将来のオペレーティングシステムが登場した際にも同じことが起きると想像されます。現行の一つ前のオペレーティングシステムがパッチされても、安全ではなく攻撃に対して脆弱であると考えたほうが無難でしょう。
いつiPhoneをアップグレードするべきか多くの人は、iPhoneが壊れない限り約3年は使えると考えているようです。ここ数年で下取りに出されるiPhoneの使用年数はどんどん長くなっており、現在では平均して3年半程度になっているのです( https://www.assurant.com/news-insight/insights/mobile-connected-world/article/q3-trade-in-upgrade-data-trends )。しかし同時に多くの人が古いiPhoneを下取りに出さず、そのまま使い続けているか、友人や家族に譲っていることもわかっています。そして、この数字はあくまで平均なのです。毎年アップグレードする人もいる一方で、5年、6年、あるいは7年間も新しいiPhoneに買い替えない人もいます。
新しいiPhoneの価値を最大にするには、毎年の秋頃に新しいiPhoneの旗艦モデルが登場したらすぐに買い換えることでしょう。そうすれば、買ったiPhoneを最も長く使えます(詳細は後述します)。最新モデルを買えば、今後のiOSのメジャーアップグレードを最大に利用できますから、提供されるアップデートの数も最大になります。
最新のiOSが使える機種何年にも渡り、Appleは古い端末でも最新のiOSが使えるようにしてきました。2015年末に買った最新のiPhoneに対して、7年後にもセキュリティアップデートが提供されています。2023年末に公開されたiOS 16まで、iPhone 6Sと同じ古さのiPhoneでも最新バージョンのiOSが使えたのです。実際、iPhone 6Sは現時点での最新バージョンのiOSで対象外になるまで、iOS 13以降のすべてバージョンのiOSが使えたのです(次の表を参照ください)。
しかし、Appleが常に慈悲深いとは限りません。同社は、特定のiPhoneの機種に対していつまで最新バージョンのiOSが提供されるかを明言していません。また、多くのiPhoneユーザは新しいiPhoneが発売されてもすぐ購入するわけではないという事実にも注意が必要です。ちょっとでも安く買うために、次期モデルの登場を前にした秋の叩き売りまで待つ人もいます。セキュリティの視点で言えば、これは正しい判断ではありません。可能な限り長い期間に渡って安全な状態で使える端末を選ぶべきなのです — でも、多くの人はそのような考えには至らないようです。
https://www.intego.com/mac-security-blog/wp-content/uploads/2022/06/iphone-spreadsheet.png
次の表にある通り、Apple自身の統計情報によれば、2023年2月の時点で全iPhoneの8%がiOS 15以前のiOSを実行しています( https://developer.apple.com/support/app-store/#:~:text=iOS%20and%20iPadOS%20usage )— つまり、そのオペレーティングシステムはすでに2年以上古くなっています。こうした端末の多くはiOS 15を実行できるiPhone 6S以前なのだと思いますが、様々な理由でアップグレードが可能なのに単にiOSのアップグレードを怠っているということもあるでしょう。
それは、ここ4年間に発売されたiOS 16に対応するiPhoneモデルだけを見てもその15%はまだiOS 15のままであり、別の4%はそれ以前のiOSを実行している事実からも想像できます。つまり端的に言って、比較的最近のiPhoneの5台に1台は、非常に古く時代遅れで安全ではないオペレーティングシステムを実行していることになります。もちろん、もっと細かくiOSのバージョンを調べれば、iOS 16のユーザでさえ速やかに全てのパッチを適用しているユーザはかなり少ないのではないでしょうか。
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/05/apple-stats.png
今年に登場するiOS 17で何か変わるでしょうか2022年9月にiOS 16が公開された際、それまでiOSのアップグレードに対応してきたモデルのいくつかには、もう完全なセキュリティアップデートが提供されていませんでした。iOS 16に対応した旧モデルは、iPhone 8およびX以降だけになりました。今から4ヶ月かそこらで登場すると思われるiOS 17で、Appleがそんな旧モデルをまた対象から外す可能性があります。 例えば、iPhone 8およびiPhone Xはかなり古くなっている上に、逃れられないハードウェアの脆弱性の問題を抱えています( https://www.intego.com/mac-security-blog/caution-black-friday-deals-may-be-bad-for-your-security/#:~:text=checkm8 )。
断っておきますが、いくつかのAndroidメーカのようにAppleが古い端末をすぐに切り捨ててしまうことはありません。多くのAndroidスマートフォンは、発売されてから3年間しかセキュリティアップデートを受けられていません。
どんなにお得でも旧モデルを買う際には注意が必要iPhoneの中古あるいは整備済製品の購入を検討しているなら、安全に使える期間は限られているということを忘れないでください。同じことが、家族にiPhoneを譲る場合にも言えます。該当端末が、今後使い続けるつもりの期間、ずっとiOSのメジャーアップデートを受けられるかどうかよく見定めておく必要があります。
Appleは、最新モデルと共に1世代あるいは2世代前のiPhoneモデルも現行製品として販売し続けています。Appleから見れば、最新のiPhoneより安いモデルを販売し続けることは低所得層あるいは価格にうるさい消費者にも製品を届ける良い方法なのでしょう。現時点では、Appleは最新のiPhone 14と共にiPhone 12およびiPhone 13を販売しています。またAppleは、現行製品としては最も安いiPhone SE(第3世代)も販売しています。iPhone 13なら今後も数年間はセキュリティパッチが提供されるでしょうから、安全と考えて良いと思います。しかし2020年に発売されたiPhone 12は、すでに3年前の製品です。今iPhone 12を買ったら、セキュリティパッチの提供は3年以内に終了する可能性があります。2022年3月に発売された最新のiPhone SEならまだ数年はサポートされ、メジャーiOSのアップグレードについてはiPhone 12よりも長く対象になり得ると思います。そう考えると、今ではiPhone 12を買うのは避けたほうが良さそうです。
(どのiPhoneモデルを買うべきか迷ったら、次の弊社のバイヤーズガイドを参照ください。)
https://www.intego.com/mac-security-blog/how-to-choose-the-right-iphone-for-you-in-2021/
整備済iPhoneAppleは、整備済のiPhoneも販売しています。現時点で、米国および英国のAppleのウェブサイトに掲載されている最も古いiPhoneはiPhone 11です(ただし本稿執筆時点では、在庫がありませんでした)。このモデルがiOS 17に対応しないという確証はありませんが、2024年の秋にiOS 18が登場したら、このモデルが対象から外れる可能性は高いでしょう。Appleから直接iPhone 11を買うことは可能ですが、セキュリティアップデートが提供されるのは今後の1年ちょっとだけの可能性があるということです。
とは言え、セキュリティアップデートの提供が終了した後もAppleがApple Watch Series 3を新品で売り続けたことに比べればマシでしょう( https://www.intego.com/mac-security-blog/apple-stops-selling-watch-series-3-eight-months-after-its-last-security-update/ )。最新環境の対象でない端末を販売し続けるのは、倫理的に問題があると思います。Appleは整備済のApple Watch Series 3を最後のセキュリティアップデートが公開されてから8ヶ月も売り続けたんですよ。
第三者からの中古、整備済、あるいは“未使用”の旧モデルiPhoneを購入色々な方法で、中古、整備済、あるいは未使用の旧モデルiPhoneを買うことができます。Amazonも販売しているし、eBayのセラーも潤沢な在庫を揃えていますし、携帯電話会社のストアでも販売されています。ちょっと探せば、iPhone 8シリーズやそれ以前のモデルも見つかるでしょう。古いiPhoneの叩き売りは魅力的に見えることがありますが、購入すればセキュリティの危険が待っています。すでにメジャーiOSバージョンに対応していないかも知れないし、今は対応していても数ヶ月から1年程度で対応から外れるかも知れません。つまり、こういう買い物は重要なセキュリティアップデートの提供が受けられなくなる可能性を常にはらんでいます。
iPhone SE現在のiPhone SE(第3世代)は、この原稿が公開された時点から考えると約1年ちょっと前に発売されたことになります。過去のAppleの対応から考えれば、今後5年間はiOSのメジャーアップグレードを受けられると思って良いでしょう。
Appleが販売する新品の第3世代SEは、62,800円から買えます。探し回れば、5万円を切る値段で買うこともできるかも知れません(新規や乗り換え、回線追加などでは、もっと安く入手できることもあるでしょう)。このモデルのセキュリティ寿命がだいたい5年程度で、平均価格が5万円から6万円ちょっとと考えると、セキュリティの寿命が来て最新モデルに買い換えるまでiPhone SE(第3世代)を月に850円から1,000円程度で使うことになります。そして、その時が来たら最新のiPhone SEあるいは同等の廉価版iPhoneをだいたい同じ価格で買うことになるでしょう。
ということは、平均的に考えて月に1,000円程度を払えば最新のメジャーiOSアップグレードを受け続けられるモデルを買うことができるわけです。
注意する点全ての人が1年から3年でiPhoneを最新モデルに買い替えられるわけではありません。安い旧モデルは魅力的ですが、数年前のモデルを買うと気づかぬ内に安全ではなくなっている可能性があります。それは、Appleから買っても第三者から買っても同じです。
では、いつiPhoneを買えば良いのでしょう。iPhoneを目一杯使いたければ、その旗艦モデルの新製品が発売された時(通常は秋)に即座に新品で買うことです。可能な限り長くiPhoneを使いたければ、1年以上前のモデルを買ってはいけません。こうした旧モデルは、より新しいモデルよりも早くメジャーiOSアップグレードの対象から外されるわけで、より早く危険な状態になります。
旗艦モデルを買うだけの予算がないなら、最新のiPhone SEを買うことをお勧めします。
■お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
https://www.act2.com/intego
■お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
https://www.act2.com/intego
長文を最後までご覧いただき、誠にありがとうございました。
act2.com では Intego 社とともに、常に Apple 製品の安全性をウォッチし、ベストな環境創りに励んでおります。
特に最近は、Apple 製品がビジネスの現場に導入される機会が増えているようです。
お仕事に支障が出ないよう、常に安全性を意識していたいものですね。
みなさまのますますのご活躍をお祈りしております。
いつもありがとうございます。
文責:MK
株式会社アクト・ツー
Software Product Team
