自分のiPhoneの挙動がおかしいと感じたことがあるユーザーも少なくないはずだ。比較的堅牢とされるiPhoneであってもセキュリティリスクは存在し、過去には少なからず被害の事例も報告されている。この記事では、iPhoneに生じ得るセキュリティリスクにどのようなものがあるのか、そしてどのような対策が求められるのか解説する。
iPhoneが安全だとされる理由
自分が使っているスマートフォン(以下、スマホ)はiPhoneのため、セキュリティ被害は生じないだろうと考えるユーザーも少なくない。実際、iPhoneを提供するアップル社では、Macも含めて堅牢なセキュリティを売りの1つとしている。その堅牢性を支えている、セキュリティ強度を高める機能や仕組みには以下のようなものがある。
App Store上での厳格な審査
iPhoneにインストール可能なアプリは、アップル社が運営している「App Store」から入手する必要がある。アプリ開発者のWebサイト経由からも直接ダウンロードできてしまうAndroidとは前提から大きく異なる。そして、App Storeで配布されるアプリは、アップル社による厳格な審査を通過したものに限られる。こうした審査のプロセスにおいて、セキュリティ面でも厳しいチェックがされるため、安全性を担保できるとされる。
サンドボックス機能
一般的に、アプリは共有されたメモリー上で動作するため、データも共有されることになる。アプリ間で連携することが可能となるため、ユーザーの利便性は高まる一方、リスクも生じる。共有されたメモリー上では、マルウェアなど悪意あるアプリが不正にデータにアクセスすることによる情報漏えい、あるいはアプリの脆弱性を突いた攻撃を受ける可能性があるのだ。
一方で、iPhoneのOSであるiOSの場合、アプリはサンドボックス上で動作する。サンドボックスとは、直訳すると「砂場」であり、隔離された空間のイメージから名付けられている。iPhoneの場合、メモリー上の隔離されたサンドボックス上でアプリを作動させることで、悪意のあるアプリの不正な動作を抑止する。
iPhoneに潜むセキュリティリスク
高い堅牢性を誇るiPhoneであっても、セキュリティリスクは存在する。以下に、これまで確認されているiPhoneに潜むセキュリティリスクを紹介していく。
フィッシング詐欺
iPhoneに限った話ではないが、スマホを狙うフィッシング詐欺は後を絶たない。また、スミッシングと呼ばれるSMSを悪用したフィッシング詐欺も多数報告されている。フィッシング詐欺の手法は今後も技術進展に伴って、新たな手法が開発されることは想像に難くない。
「脱獄(Jailbreak)」の危険性
脱獄とはOSの制約を取り払うために、OS開発者が許可していない改修を不正に行うことだ。iPhoneの場合、脱獄することでApp Storeを経由せず自由にアプリをインストール可能となる。Androidと同様に、「野良アプリ」と呼ばれるアプリもインストールできてしまうのだ。野良アプリはアップル社の厳格な審査を通過したものではないため、セキュリティリスクも高まる。このようなアプリとして、過去にはAppBuyerと呼ばれるApple IDとパスコードを盗むマルウェアも確認されている。
ゼロクリック攻撃
ゼロクリック攻撃とは、ユーザーが何らアクションをせずとも被害を与えられる攻撃手法のことだ。マルウェアに感染してしまう場合、添付ファイルの起動やメッセージ内のURLリンクのクリックといったユーザーの操作を伴うのが一般的だ。しかし、ゼロクリック攻撃ではこうした動作を必要としない。
iPhoneでも過去に、iMessageを利用したゼロクリック攻撃が発生。スパイウェア「Pegasus」を用いたゼロクリック攻撃では、世界中の著名人や政治家がターゲットとなった。「Pegasus」はiMessageに潜む脆弱性を悪用し、端末内のデータ、情報の窃取を試みる。ほかに、iMessage以外のアプリの脆弱性を悪用する攻撃も確認されている。
サプライチェーン攻撃
アプリの開発環境で利用されるソフトウェアにマルウェアを仕込むことで、リリースされたアプリにもマルウェアが仕込まれる攻撃手法がサプライチェーン攻撃だ。基本的にApp Storeで審査されることで、その多くは排除されるものの、審査を通過してしまうアプリもある。過去に、ゲームアプリに潜伏して、当該アプリのユーザーへマルウェア感染を試みるアプリが確認されている。
カレンダーアプリを悪用した不正誘導
iPhoneのカレンダーアプリ上に突如、ウイルス感染といった旨の通知が表示される。あるいはカレンダーアプリにユーザーが登録した覚えのないイベントが登録されており、その詳細としてURLが記載されている。このURLをクリックすることで、不正なWebサイトへ誘導されて被害を受けてしまう。この誘導先のWebサイトでは、個人情報をはじめ、重要な情報を窃取されるなど、フィッシング詐欺の被害に遭う可能性がある。
こうした不正誘導の原因として考えられるのは、Webサイト経由でカレンダーの共有を許可してしまうことだ。iPhone純正のカレンダーアプリと外部のカレンダーを連携することで、純正のカレンダーアプリに不正な通知が表示されてしまうことになる。
不正な構成プロファイルのダウンロード
構成プロファイルとは、iPhoneを一括して設定できるデータのこと。企業や組織では自社専用のアプリを利用するためとして、iPhoneを脱獄状態で運用することもある。そういった状態にあるiPhoneに不正な構成プロファイルをインストールできれば、攻撃者は意のままに操ることができ、端末内のデータや情報を窃取することが可能となってしまうのだ。
正規アプリに偽装したアプリ経由での不正
端末内のデータやユーザーの個人情報が金銭的な価値を生むことから、スマホなどの端末を狙う攻撃はより悪質化、巧妙化している。そのため、App Storeからダウンロードしたアプリであっても、100%安全だとは言い切れない。また、アプリ自体は安全であっても、アプリ内で展開するブラウザー経由で不正が行われることもある。あるいは、アプリがアップデート後に突如、悪質なアプリに変貌してしまうといった可能性も考えられる。
iPhoneを守るためのセキュリティ対策
先述のように、堅牢なiPhoneであってもセキュリティリスクはゼロではない。iPhoneだから大丈夫と慢心せず、自らの身は自分で守るという意識が求められる。ユーザー自身でも実施可能なセキュリティ対策を以下に挙げる。
OS、アプリを最新の状態にアップデート
iPhoneのOSであるiOSは、セキュリティリスクが発覚した場合、速やかにアップデートを提供している。そのため、アップデートの通知が表示された場合は可能な限り速やかにアップデートを適用するようにしたい。また、OSだけでなくアプリも同様だ。アプリ上での通知が生じた場合はもちろんのこと、定期的にApp Storeのアプリでアップデートが配布されていないか確認しておくようにしたい。
・脱獄(Jailbreak)をしない
近年、iOS側の機能が充実していることから脱獄することのユーザーメリットは多くない。むしろ、マルウェア感染をはじめ、セキュリティリスクが非常に高まるだけでデメリットがメリットをはるかに上回る。よほどの特殊なケースを除き、脱獄は避けた方がよい。
不審なメッセージ内のリンクはクリックしない
メッセージ内のURLをむやみにクリックしないことは、フィッシング詐欺、マルウェア感染を防ぐための基本的な対策だと言える。攻撃者の手法は巧妙化の一途を辿っており、違和感のないメッセージに偽装しているケースが増えている。それでも、詐欺などの悪意の兆候を示すものは少なくないため、少しでも不自然なものは疑ってかかるようにしたい。
セキュリティリスクを考慮した行動
高いセキュリティレベルを誇るがゆえに、ユーザーが安心しきってしまうことが最大のリスクと言えるかもしれない。先述のようにiPhoneであっても、常にセキュリティリスクが生じ得る前提の心構えでいることが重要だ。iPhoneの安全性がどのように担保されているのか、機能と仕組みを知り、ユーザー自身で適切な対策を講じること。また、フィッシング詐欺をはじめ、新しい攻撃手法が相次ぐような場合もある。そうした攻撃の手法を把握することで、ユーザーとしては事前に備えることも可能だろう。
完全な安全性が約束された桃源郷は存在しない。その前提で適切な対策を講じ、iPhoneの利便性を享受するようにしたい。
