すでにご存知の方もいらっしゃるかと思いますが、Apple が悪名高い Predator による脆弱性に対して iOS、iPadOS、macOS、そしてwatchOS へのパッチを公開しました。
(この記事は、2023年9月22日に Joshua Long (https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたApple patches Predator-exploited vulnerabilities for iOS, iPadOS, macOS, watchOSをもとに構成したものです)
9月21日木曜日に、Appleは幾つかの重大な問題に対応するセキュリティアップデートを公開しました。パッチされたゼロデイ脆弱性は、Cytrox の Predator スパイウェアが悪用しているものでした。
Predator は、NSO GroupのPegasusスパイウェアのような商用の “傭兵” スパイウェアです。ちなみにPredatorの背後の会社が Cytrox あるいは Intellexa であると特定されたのかどうかについては、いくつかの異なる内容の報告があります。Cytrox は Intellexa Alliance の一部であるとされています;Intellexa はより知名度の高いNSO Groupに対抗する企業の集まりです。こうした団体は、米国政府の取引制限リストに載っています。
◾ Appleがパッチしたオペレーティングシステムとパッチしなかったオペレーティングシステム
Appleは、次のオペレーティングシステムとSafariアップデートで少なくとも3個の脆弱性をパッチしました:
これらのリンクは、Appleによる各アップデートのリリースノートの web ページへ遷移します。
見てお分かりと思いますが、このリストには iOS 15 および iPadOS 15、そして watchOS 8 がありません。
◾ iOS 15 あるいは iPadOS 15 はパッチされず
iOSおよびiPadOS 15には、今後もセキュリティアップデートが提供されると考えている人もいるでしょう。Appleは、これまで直近3世代のiOSのバージョンに対してバラバラにパッチを提供したことがあります。iOS 12は、2022年と2023年にそれぞれ一個の脆弱性をパッチするために一回ずつアップデートされています。つまり、この木曜日にiOS 15のアップデートが提供されなかったことでもうアップデートが提供されない可能性が示唆される一方で、まだまだ突発的にパッチが提供される可能性もあります。つまり今後については不確かな状態なのです。現時点では、iPhone 6s、6s Plus、SE(第1世代)、7、あるいは7 Plus(あるいは同時期のiPad)をお使いのユーザは、セキュリティとプライバシーを守るためにも iOS 17(あるいはiPadOS 17)に対応する機種へのアップグレードを検討した方が良いでしょう。
◾ watchOS 8 はパッチされず
Appleは、Apple Watch Series 3が対応する最後のwatchOSバージョンであるwatchOS 8のパッチも提供していません。Appleは今年の春まで、正確には2023年3月までSeries 3 Watchを販売していました(
https://www.intego.com/mac-security-blog/apple-stops-selling-watch-series-3-eight-months-after-its-last-security-update/)。それ以降、Appleが提供したのは一個の脆弱性に対する一つのパッチだけです(
https://www.intego.com/mac-security-blog/apple-gives-watch-series-3-users-false-sense-of-security-patching-1-vulnerability/)— 結果として、Apple Watch Series 3はすでに悪用されている脆弱性を含む攻撃には対応できません。Appleがほんの数ヶ月前まで販売していたハードウェア製品に対するパッチを“静かに終了”させた事実について、残念ながらプレスも消費者擁護団体もほとんど注目していません。
◾ macOS には不完全なパッチの可能性
macOS Big Sur(現時点で2世代前のリリース)には、Safariアップデートを介してWebKit脆弱性の一つのパッチが提供されましたが、これはmacOSに影響する可能性のある3つの脆弱性の内の一個に対応したに過ぎません。
同時にmacOS Monterey(現時点で1世代前のリリース)は、三個のパッチの内のWebKitとKernel脆弱性という二つが提供されているようです。
不思議なことにmacOS Venturaにも3つのパッチの内の2つしか提供されていないのですが、それはmacOS Montereyとは異なる内容なのです。macOS Venturaのリリースノートには、Appleが以前のmacOSバージョンでパッチしたWebKit脆弱性をパッチしたとの記載がありません。代わりに、Appleは多分WebKitの問題ではないと思われるKernelおよびSecurityの問題をパッチしたとされています。
Appleが木曜日にパッチした脆弱性の詳細およびこれまでにわかっていることについては後述します。
◾ macOS Ventura 13.6、iOS 16.7、そしてiPadOS 16.7のまだ公開されていないパッチ
macOS Ventura 13.6およびiOS 16.7、そしてiPadOS 16.7のリリースノートでは、どちらも「Additional CVE entries coming soon」となっています。つまりAppleは、これまでに公開したもの以外にもさらに脆弱性をパッチする予定だということです。こうしたiOSおよびiPadOS 16のアップデートには、今回のiOSおよびiPadOS 17.0.1のアップデートと一致する以下に列記した全部で3個の脆弱性がリストされています。
ということは、この「additional CVE entries」という注意書きは最近のiOSおよびiPadOS 17.0のリリースとiOSおよびiPadOS 17.0そして9月26日の火曜日に公開されたばかりのmacOS Sonoma 14.0でパッチされたCVEを指していると思われます。
◾ Apple がパッチした脆弱性
今の所、Apple はこうしたパッチには次の脆弱性が含まれているとしています(パッチによって対象機種などは微妙に異なりますので、全てのパッチが以下の対象機種に適用されるわけではありません):
● Security
対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Ventura、Apple Watch Series 4以降
影響:悪意のあるアプリが、署名の検証を回避できる可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:証明書の検証の脆弱性に対処しました。
CVE-2023-41991:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
● Kernel
対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Monterey、macOS Ventura、Apple Watch Series 4以降
影響:ローカルの攻撃者が権限を昇格できる場合がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:チェックを強化することで、この問題に対処しました。
CVE-2023-41992:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
● WebKit
対象:iPhone 8以降、iPad Pro(全機種)、iPad Air (第3世代)以降、iPad(第5世代)以降、iPad mini(第5世代)以降、macOS Big SurおよびmacOS Monterey
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:261544
CVE-2023-41993:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏
Google’s Threat Analysis Group (TAG)によれば、この3個の脆弱性全てがiPhoneにPredatorスパイウェアをインストールするための悪用手順の一部だそうです(
https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/)。Citizen Labは、わかっている標的の一つはエジプトの大統領候補の一人だと報告しています(
https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/)。
Appleは、macOS Ventura 13.6、そしてiOS 16.7およびiPadOS 16.7のリリースノートで「additional CVE entries [are] coming soon」としています。
◾ Apple のセキュリティアップデートをインストールする方法
★ macOS Ventura を実行する Mac では、システム設定 > 一般 > ソフトウェアアップデートを開いてください。
ここでmacOSのアップデートが正常に表示されない場合は、ソフトウェアアップデートの画面で⌘Rキーを押すか、ターミナルアプリケーションで
softwareupdate -l(最後は小文字のL)
と入力してReturn/Enterキーを押してください。
★ macOS Big SurあるいはMontereyを実行しているMacでは、システム環境設定 > ソフトウェアアップデートでアップデートが入手できます(あるいはmacOS Venturaにアップグレードすることもできます)。お使いのMacがmacOS High Sierra以前を実行していて、かつmacOS Venturaに対応するのであれば、Mac App StoreでmacOS Venturaを検索してダウンロードすることができます。
なお、完全なパッチが適用されるのは常に最新のmacOSバージョンだけだということに注意しておいてください。古いmacOSのバージョンでは、パッチの一部だけが提供されて脆弱性が残ったままになります。ですから、セキュリティとプライバシーのことを考えるなら、最新のmacOSのバージョンを使うことが重要なのです。詳細については、弊社の“When does an old Mac become unsafe to use?”という記事(
https://www.intego.com/mac-security-blog/when-does-an-old-mac-become-unsafe-to-use/)を参照ください。
★ iPhoneあるいはiPadのユーザは、設定 > 一般 > ソフトウェアアップデートでiOSあるいはiPadOSをアップデートできます。
★ Apple WatchのwatchOSをアップデートする手順は、ちょっと面倒です。まずiPhoneが対応する最新のオペレーティングシステムにアップデートされていなければなりません(理想的には、iOS 17の最新バージョン)。次にiPhoneおよびWatchの両方が同じWi-Fiネットワークに接続している必要があります。さらにApple Watchのバッテリが50%以上充電されている必要もあります。この状態で、iPhoneでWatch Appを開き一般 > ソフトウェアアップデートを開きます。
なお、iOS、iPadOS、あるいはmacOSをアップデートするときは必ずアップデートを適用する前にデータをバックアップしてください。これで何か予想外の問題が起きても、事前の状態へ戻ることができます。macOSのバックアップが正常に動作するか確認する方法については、弊社の“how to check your macOS backups to ensure they work correctly”という記事(
https://www.intego.com/mac-security-blog/how-to-verify-your-backups-are-working-properly/)も参照ください。
また、iPhoneまたはiPadをiCloudあるいはMacにバックアップする方法については、弊社の“how to back up your iPhone or iPad to iCloud and to your Mac”という記事(
https://www.intego.com/mac-security-blog/should-you-back-up-your-ios-device-to-icloud-or-itunes/)を参照ください。
◾ お使いのMacは安全ですか?
Mac 用のセキュリティソリューションには Mac 専用に開発された製品をお使いください。Mac 専用に開発され続けてきた Intego ブランドのツール群をお薦めします。act2.com のIntego 製品ページで機能や目的に合った製品をご確認のうえお求めください:
https://www.act2.com/integoさて、気がつけば、朝晩肌寒くなり、めっきり秋らしくなってきました。
皆様どうかご自愛くださいますように。
- act2.com Software Products Team
