Kasperskyのグローバル調査分析チーム「GReAT」は、2023年6月および10月に調査結果を発表したiOSデバイスを標的にしたAPT攻撃活動「Operation Triangulation」についての新たな調査結果を明らかにした。
GReATのリサーチャーは、Appleが設計したシステムオンチップ(SoC)の脆弱性を発見し公開。この脆弱性は、Operation Triangulationのカギとなっており、攻撃者はこの非公開のハードウェア機能とその脆弱性を発見・利用して、バージョン「iOS 16.6」までのiPhone上のハードウェアベースのメモリ保護を回避していたという。
![Operation Triangulationの攻撃チェーン<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19044/19044_01.png)
[画像クリックで拡大表示]
発見した脆弱性はハードウェア機能に関するもの。設計や実装を非公開や隠すことによってセキュリティを確保する「隠ぺいによるセキュリティ」の原則に基づくものと思われるハードウェア機能で、テストやデバッグを目的としていた可能性があるという。攻撃手順は、iMessage経由でゼロクリック・エクスプロイトを含んだファイルを添付したメッセージを送信し、ユーザーに通知することなく処理を行うとしている。
その後、特権昇格のコードを実行し、今回のハードウェア機能を悪用してハードウェアベースのセキュリティ保護を回避して保護されているメモリ領域のコンテンツを操作する。対象デバイスを完全に制御する上で、この手順は不可欠であり、AppleはCVE-2023-38606として、この問題に対応済み。GReATのリサーチャーは、iOSを最新版にすること、および覚えのない差出人からのiMessage添付ファイルを扱う場合には注意を払うことを推奨しているという。
Kaspersky GReATのプリンシパルセキュリティリサーチャー、ボリス・ラリン(Boris Larin)氏は、次のように述べている。
「今回発見したのは、普通の脆弱性ではありません。iOSエコシステムは閉鎖的な性質なため発見のプロセスは困難で時間もかかり、ハードウェアとソフトウェア両方のアーキテクチャを包括的に理解する必要がありました。改めて教訓になったのは、高度なハードウェアベースの保護があっても、高度な技術を持つ攻撃者の前ではその効果がなくなる可能性があるということです。こうした保護を回避できてしまうハードウェア機能がある場合はなおさらです」
【関連記事】
・Kaspersky、消費者が2024年に直面する可能性のある脅威を予測
・Kaspersky、2024年のAPT攻撃予測など発表──日本では金銭的動機による攻撃が増加か
・Kaspersky、iOSデバイスを標的としたモバイルAPT攻撃活動調査の詳細を発表
