みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190728-20190803)

今週の総括

  • iOSの重大な脆弱性について
  • Siriがプライベートな会話を盗聴

今週はBlackHat前夜といったところで、来週からはBlackHat、DEFCONネタが豊富になるんですかね。

BlackHatについては、感想のところでも述べているのでご参考まで。

結果的にAppleネタを集中的に扱うことになってしまった今週ですが、ご容赦ください。


感想

iOSの重大な脆弱性について

Googleのセキュリティチーム「Project Zero」の研究者2人によって、「iOS」に関する重大な脆弱性が発見されました。

当該脆弱性は、2019年5月にはすでに発見者によってAppleに報告されているとのことです。

報告された脆弱性は、全部で6件です。

うち4件「CVE-2019-8641」「CVE-2019-8647」「CVE-2019-8660」「CVE-2019-8662」は、攻撃者が遠隔から特定のメッセージを送るだけでよく、結果として被害端末の操作なしに任意のコードが実行できてしまいます。

かつ、この4つの脆弱性を悪用するPoC(脆弱性の検証コード)が公開されているため、すぐにでも悪用が可能です。

残り2つの脆弱性についても、被害端末をユーザが操作せずに、メモリ上のデータやデバイス上のファイルが読み取れてしまうものになります。

脆弱性の対象となるのは、iOS12.4より前のバージョンです。

そのため、2019年7月22日に公開されたアップデートを適応していない端末は早急な対応が推奨されます。

support.apple.com

発見者がアップデートの公開ではなく、一週間後のこのタイミングでツイートしたのは、おそらく来週のBlackHatに向けた宣伝もあるかと思います。

www.blackhat.com

BlackHat行ってみたいなーいいなー

念のため説明しておくと、BlackHatというのは国際的なセキュリティカンファレンスです。

そのうち今回の発表があるBlackHat USAは、年に一回ラスベガスで開かれるとても大きな会だと聞いています。

https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcSZ9FwoSXMKIWvhusOJyWavG8mgGoL_59b4bpIC2pfT31hHoVL2

出典:BlackHat

私自身まだ足を運んだことがないので、行きたいな~と思ってます。


Siriがプライベートな会話を盗聴

タイトルの通りではあるのですが、イギリスの大手新聞社であるガーディアンが、Appleの契約業者からの内部告発を報じました。

内容としては、AppleAIアシスタントSiriが、会話を盗聴してるとのことです。

www.theguardian.com

リード文からもわかる通り、非合法なやり取りや極めてプライベートなやり取りまで、色々聞けてしまいますよね。。

There have been countless instances of recordings featuring private discussions between doctors and patients, business deals, seemingly criminal dealings, sexual encounters and so on. These recordings are accompanied by user data showing location, contact details, and app data.

AIアシスタントが、すべての音声を取得しているかと言うとそうではなく、Siriの場合「Hey,siri」を契機に一定の時間のみ音声が取得される設計です。

ただ、何かの聞き間違えで、音声の取得が始まり、結果として、さまざまな内容が記録されてしまうことがあるのも事実です。

今回の告発では、gradingと呼ばれるSiriの品質向上のためAppleから提供される生の音声データの取り扱いに対し、業者が疑問を感じた結果だそうです。

問題なのは、ユーザの許可なしにこういったgradingが行われていることで、見直しが求められています。

これらを受け、apple社は現在、このgradingを停止しています。

jp.techcrunch.com

個人的には、やむを得ない気もしていますが、GDPRをはじめとした個人情報管理の法整備も加速化していることを踏まえると、いささかお粗末な気がしています。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

昨日の夜はイベントが相当集中したようで新宿駅がカオスでした(笑) - 花火大会(板橋&江戸川) - Jリーグ1位のFC東京vsC大阪 - 神宮の東京燕プロジェクト - ももクロのライブ

経済効果半端ないなーと思いつつ、色々な趣味の人たちが同じ時間にいろいろな意味で感動してるんだと思うと、混雑も致し方ないと思いました。

いい世の中だな~

なにしろすべてのイベントの前提として

晴れてよかった。

そんなリア充な人たちを横目に、 お盆前なので、もうひとつ言わせてください。

もっと遊びたい(笑)