ここ数日、2 つのセキュリティ上の欠陥に関する報告がいくつか集まっている。1 つは約 1,500 個の iOS アプリに影響し、もう 1 つは Apple が OS X 10.10.3 で脆弱性を修正しようとしたにもかかわらず OS X ユーザーに影響している。
Ars Technicaによると、最初のセキュリティ欠陥は、約1500個のiPhoneおよびiPadアプリにハッカーの攻撃の危険をもたらし、パスワード、銀行口座情報、その他の機密情報を盗む可能性があるという。セキュリティ分析会社SourceDNAが先月発見したこの「中間者」攻撃は、脆弱性を抱えていたオープンソースコードAFNetworkingのバージョン2.5.2アップデートで修正された。
残念ながら、一部の開発者はまだ最新バージョンのコードにアップデートしておらず、1500個のアプリが攻撃に対して脆弱な状態となっています。この攻撃は「HTTPSで暗号化されたデータを復号化」することができ、偽のWi-Fiホットスポットを生成した誰もが、同じWi-Fi接続上のユーザーのデータにアクセスできるようになります。そのため、SourceDNAはApp Storeにあるほとんどのアプリをスキャンしてセキュリティ上の欠陥の有無を分析し、特定のアプリが危険にさらされているかどうかを調べるための検索ツールも作成しました。
脆弱性が発表され修正された当日、SourceDNAで簡単に検索したところ、AFNetworkingを使用する10万アプリのうち約2万アプリのiOSアプリがAFNetworkingライブラリを含み、かつ脆弱性のあるコードがコミットされた後にアップデートまたはApp Storeでリリースされたことが判明しました。その後、当社のシステムはこれらのアプリを差分シグネチャでスキャンし、実際に脆弱なコードを含むアプリを特定しました。
結果はどうだったでしょうか?55%は古いながらも安全な2.5.0コードを使用しており、40%はSSL APIを提供するライブラリ部分を使用していませんでした。そして5%、つまり約1,000個のアプリに脆弱性がありました。これらのアプリは重要なのでしょうか?ランキングデータと比較したところ、Yahoo!、Microsoft、Uber、Citrixなどの大手企業が脆弱性を抱えていることがわかりました。わずか6週間のセキュリティ脆弱性をもたらしたオープンソースライブラリが、数百万人のユーザーを攻撃にさらしたという事実には驚かされます。
現在、中間者攻撃に対して脆弱であることが知られているアプリには、Citrix OpenVoice Audio Conferencing [直接リンク]、Alibabaのモバイルアプリ [直接リンク]、さらにはRotten TomatoesのFlixster Movies [直接リンク] などがあります。SourceDNAは、ユーザーに検索ツールでよく使うアプリにセキュリティ上の欠陥がないか確認するよう促しており、修正済みのアプリは削除し、脆弱性が発見されたアプリは随時追加していくと約束しています。
「Rootpipe」と呼ばれるもう一つの脆弱性は2011年に遡り、以前から知られていました。Appleは今月初めにOS X 10.10.3でこの脆弱性を修正する予定でしたが、それ以前のバージョンのOS Xには脆弱性が残っていました。しかし、Forbesの報道によると、元NSA職員のパトリック・ウォードル氏が、OS X 10.10.3だけでなく、それ以前のバージョンを搭載したMacにもこの脆弱性が依然として存在することを発見しました。
Appleは攻撃を阻止するために追加のアクセス制御を導入しましたが、ウォードル氏のコードは依然として脆弱なサービスに接続し、Mac上のファイルを上書きすることができました。「今日の午後、Apple Storeに行って展示モデルで試してみようかとも思いましたが、結局、個人用のラップトップ(完全にアップデート/パッチ適用済み)とOS X 10.10.3(仮想マシン)でテストすることにしました。どちらも問題なく動作しました」とウォードル氏はFORBESへのメールで述べています。彼はブログ記事で、この脆弱性は「ローカルユーザーなら誰でもRootpipeを悪用できる、斬新でありながら簡単な手段だ」と述べています。
昨年10月に発見されたルートパイプ脆弱性は、特定のシステムに隠されたバックドアを作成することを可能にし、ハッカーがデバイスのローカル権限を取得することで、コンピュータのルートアクセスを許してしまう可能性があります。この脆弱性を悪用するには、標的マシンへの物理的なアクセス、または事前に許可されたリモートアクセスが必要です。
最近では、Appleのシステムに「FREAK」と呼ばれるセキュリティ脆弱性が見つかり、Apple TVからiPod touchまで、あらゆる製品が機密情報の盗難に遭う危険性がありました。同社はこのセキュリティ脆弱性の発見から数週間のうちに、全プラットフォーム向けにセキュリティアップデートを数回リリースし、セキュリティ強化とユーザーからの懸念緩和に努めました。iOSの中間者攻撃や、再び発生しているRootpipeの脆弱性については、Appleはまだコメントしていません。
更新: Alamofire Software Foundation は、AFNetworking の問題に関する論争に対する回答を掲載し、たとえアプリが AFNetworking の脆弱なバージョンを使用していたとしても、SSL ピンニングを使用した HTTPS 経由で通信が処理される限り攻撃を受けることはないと指摘し、影響を受けるアプリの数に関する SourceDNA の主張を否定しました。
アプリがHTTPS経由で通信し、SSLピンニングを有効にしている場合、報告されている中間者攻撃に対して脆弱ではありません。
AFNetworking を使用しているアプリの大部分は、SSL 証明書または公開鍵のピンニングを有効にするという推奨手順を実行していました。これらのアプリケーションは、報告されている中間者攻撃に対して脆弱ではありません。
Alamofireのマット・トンプソン氏はMacRumorsに対し、中間者攻撃を試みない限り、アプリが脆弱かどうかを判断する方法はないと述べている。SourceDNAは中間者攻撃を試みていない。いずれにせよ、アプリでAFNetworkingを使用しているすべての開発者は、直ちにバージョン2.5.3にアップデートする必要がある。
人気のストーリー
iOS 26.1からiOS 26.4では、iPhoneに以下の新機能が追加されます
2025年10月1日水曜日午後1時26分(PDT)ジョー・ロシニョール
iOS 26は先月リリースされましたが、ソフトウェアの進化は止まることなく、iOS 26.1のベータテストはすでに開始されています。iOS 26.1では、Apple Intelligenceと対応AirPodsのライブ翻訳が追加の言語で利用可能になったほか、Apple Music、カレンダー、写真、Safariにもいくつかの小さな変更が加えられています。今後のバージョンでは、さらに多くの機能と変更が予定されています。
ガーマン氏:ジョン・ターナス氏が次期CEOに就任し、アップルの経営陣の大刷新が迫る
ブルームバーグのマーク・ガーマン記者によると、アップルは10年以上ぶりの大規模な経営陣交代を迎えている。複数の上級幹部が退任の準備を進め、CEOのティム・クック氏が次世代のリーダー育成に着手している。ガーマン氏は自身のニュースレター「Power On」の最新号で、数年にわたりクック氏の後継者候補と目されていたジェフ・ウィリアムズ氏が…
新型iPhoneの需要は1機種を除いて「予想を上回る」
2025年10月2日木曜日午前7時26分(PDT)ジョー・ロシニョール
iPhone 17シリーズの発売から約2週間後、投資銀行モルガン・スタンレーのアナリストは、Appleのオンラインストアにおける出荷予定の延長とAppleのサプライチェーンから収集した情報に基づき、同機種の需要は「当初の予想よりもやや強まっている」と述べた。iPhone 17、iPhone 17 Pro、…の初期需要は堅調だった。
iOS 26ではiPhoneに200以上の新機能と変更点が追加されます
2025年10月4日土曜日午前8時19分(太平洋夏時間)ジョー・ロシニョール
Appleのウェブサイトでは、先月リリースされたソフトウェアアップデートに含まれる約200の新機能と変更点(PDFファイル)のリストが公開されています。AppleはiPadOS 26とmacOS Tahoeについても同様のリストを公開しています。iOS 26はiPhone 11以降と互換性があります。アップデートをインストールするには、iPhoneの設定アプリを開き、「一般」をタップし、「ソフトウェアアップデート」をタップしてください。以下に、特に注目すべき8つの機能と変更点をご紹介します。
M5 MacBook Air:発売日、機能、パフォーマンス予測
2025年10月3日金曜日午前3時39分PDT ティム・ハードウィック
MacBook AirはAppleの最も人気のあるノートパソコンです。薄型でファンレス、そしてAppleシリコンの効率性により静音性に優れたマシンです。M4モデルはそれほど古いモデルではありませんが、すでに後継機に注目が集まっています。Appleは新製品の発売を事前に発表することはありませんが、Appleのシリコンロードマップを見れば、今後の展開を驚くほど明確に予想することができます。
Apple、iCloudストレージを有料利用するiPhoneユーザー向けの5つの特典を発表
Appleは先月新型iPhoneを発売した後、サービス収益の拡大を目指し、ホームページに目立つバナーを掲載してiCloud+のプロモーションを行っています。iCloud+のすべてのプランには、ストレージ容量の増加に加え、iPhoneユーザー向けの5つの特典が含まれています。ちなみに、iCloudには5GBのストレージが無料で含まれています。追加のストレージが必要な場合は、iCloud+プランに加入する必要があります。米国では、価格は…
Apple、iOS 26.1でアラームを修正
2025年10月6日月曜日午前11時56分PDT ジュリ・クローバー
iOS 26.1のベータ2で、AppleはiPhoneに設定されているアラームのデザインを更新し、以前よりも解除しにくくなりました。iOS 26.1ベータ2では、アラームを停止するには、単純なタップではなく、新しい「スライドして停止」ジェスチャーが必要になります。アラームをスヌーズするには引き続きタップできますが、完全にオフにするにはスワイプする必要があります。タップからスライドジェスチャーへの移行は…
iPad Mini 8が近日登場:予想される機能とリリーススケジュール
2025年10月6日月曜日午前5時05分PDT ティム・ハードウィック
ブルームバーグのマーク・ガーマン氏によると、新型iPad miniは「間違いなく」登場する。では、Appleが1年前に発売したiPad mini 7の後継機には何が期待できるのだろうか? プロセッサとパフォーマンス Appleは、A19 Proチップを搭載した次世代iPad mini(コードネームJ510/J511)を開発中であることが、Appleが誤って公開したコードから発見された情報から明らかになった。