iOS 11.2におけるHomekitにゼロデイ脆弱性が見つかる! |
2017年12月7日(現地時間)にApple系海外Webメディアの9to5Macは7日(現地時間)、iPhoneやiPadなどにおいて最新プラットフォーム「iOS 11.2」に「Homekit」におけるフレームワークにゼロデイ攻撃を受け得る脆弱性が存在していたと報じています。
なお、同メディアではこの脆弱性はサーバー側の問題であり、Appleがすでに修正済みのため、利用者が影響を受けることはなくなったとしています。一部利用者はHomekitの一部機能が制限されており、今週中にリリースされる予定のiOSのOSバージョンアップが必要になるとしています。
今回発見されたHomekitの脆弱性は、Homekitを利用する各スマートデバイスに問題があるのではなく、Homekitのフレームワークに存在しているとのことで、影響を受ける製品は多岐に渡ります。その中でも重大なのは、スマートロックと接続されたガレージのドアを不正に開けられてしまうというものでした。
しかしながら、幸いにも今回の脆弱性は再現が難しいために再現性が低いこと、そして、クライアント側の問題ではなく、Appleのサーバー側の問題ですので、サーバー側で脆弱性対応を行えば、一部を除くユーザーは特に何もしなくても良いため、すぐに終息されると見られています。
なお、一部利用者については、iOSのアップデートが必要なため、アップデートが適用されるまでは、Homekitの一部の機能が制限されています。これは、今週中にリリースされる予定のアップデートを適用することで解決することができるということです。
今回の脆弱性はスマートデバイスではなく、Appleのサーバー側が起因となり、かつ再現性の低い脆弱性でしたので、大きな被害が発生する前に問題が終息されました。とはいえ、もし仮にこれが今回の脆弱性のように簡単に終息できない問題であれば、どういったことが起きると考えられるでしょうか。
それは、冒頭でも述べたとおり、スマートホームに関連した脆弱性は、鍵を外部から不正に開けたり、家電を乗っ取られてしまう恐れが発生します。そんな脆弱性への対応が遅れると、外部から意図も簡単に侵入されて、家財や金品、最悪命までも奪われてしまうリスクが発生してしまいます。
このような話を聞く度に「スマートホームは危ない!導入してはだめだ!!」といった声が挙がりますが、これはスマートホーム化していない家であっても泥棒や強盗などに侵入されてしまう恐れがあるため、スマートホーム化したからといって、家のセキュリティーレベルががた落ちするということはありません。
スマートホーム化されていない従来の家でも、ピッキングなどのこじ開けに弱い鍵を使っていれば、簡単に自宅へ侵入されてしまいます。これをスマートホームに置き換えると、脆弱性をかかえたデバイスを利用していれば、簡単に自宅へ侵入されてしまうと捉えられますよね。
そのため、スマートホーム化したときの危険性を必要以上に怖がるのではなく、“正しく怖がる”ことが肝要です。よって、とにかくスマートホーム化すれば、泥棒に入られにくくなるんだ、安全だと考えるのは安直な考えで、より破られにくい、より安全なデバイスを選定することが求められます。
もし、Homekitなどを利用してスマートホーム化を考えている方がいれば、見た目上のスペックだけでなく、セキュリティー面にも気を配り、適切な製品を選ぶようにしたいところです。
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・Zero-day iOS HomeKit vulnerability allowed remote access to smart accessories including locks, fix rolling out | 9to5Mac
・HomeKit – すべてのアクセサリ – Apple(日本)
(引用元:livedoor news)