iOS14.6 , iPadOS 14.6 , tvOS14.6 , watchOS7.5 , macOS 11.4 等リリース

5/25/2021

iOS14.6 , iPadOS 14.6 , tvOS14.6 , watchOS7.5 , macOS 11.4 等リリース

相も変わらずセキュリティアップデートが多いモバイルデバイス界隈ですが、PC ではランサムウエアがある種の経済圏を持ってしまって、Youtuber ではなく、ホワイトハッカーになりたい子供が続出しているようです。

新機能的には Podcast+ という Podcast のサブスクリプションサービス開始にあたったリリースのようです。Apple さんはエピックゲームズとの裁判で忙しい中、サブスクリプションモデルの導入で忙しそうですね。News+ というニュースサブスクリプションモデルも出ると言われていたので、これもそのうち発表になるのでしょうか。（全く余談ですけど、Apple TV+ の神話クエストというドラマで、バトルロワイヤルなんて下らないと言いながら実装したら、「めちゃくちゃユーザ増えたけど平均年齢が9歳まで下がった、さぁガキ相手にスキンを売りまくって稼ぎまくるぞ！」という下り･･･ｗｗｗでした。）

さて、新しい iOS / iPadOS / watchOS / tvOS / macOS については 40件程度のセキュリティアップデートがあります。

iOS14.6 , iPadOS14.6 は、iPhone 6s 以降, iPad Pro (全モデル), iPad Air 2 以降 , iPad 第5世代以降 , iPad mini 以降 , iPod touch 第7世代を対象にリリースされています。
watchOS7.5 は、Apple Watch 第3世代以降を対象にリリースされています。
tvOS14.6 は、Apple TV 4K と Apple TV HD が対象です。
macOS BigSur 11.4 は、MacBook 2015 以降、MacBook Air 2013 以降、MacBook Pro 2013 後期以降、Mac mini 2014 以降、iMac 2014 以降、iMac Pro 2017 以降、Mac Pro 2013 以降が対象となります。
macOS Catalina には、"Security Update 2021-003 Catalina" がリリースされています。
macOS Mojave には、"Security Update 2021-004 Mojave" がリリースされています。

iOS14.6 / iPadOS14.6 のリリース内容

Podcast

チャンネルまたは個別の番組のサブスクリプションに対応

AirTagと“探す”

AirTagおよび“探す”ネットワークアクセサリで電話番号の代わりにメールアドレスを追加する紛失モードのオプションを追加
NFC対応デバイスでタップすると、AirTagが所有者の電話番号の一部を隠して表示

アクセシビリティ

音声コントロールのユーザは、再起動後の初回ロック解除時に、音声のみを使用してiPhoneのロックを解除可能

このリリースには、以下の問題の修正も含まれます:

Apple Watchで“iPhoneをロック”を使用したあとに“Apple Watchでロック解除”が動作しない場合がある問題
リマインダーが空白行として表示される場合がある問題
“設定”で着信拒否の機能拡張が表示されないことがある問題
Bluetoothデバイスで、通話中に切断されたり、別のデバイスにオーディオが送信されたりすることがあった問題
iPhoneの起動時にパフォーマンスが低下する場合がある問題

macOS BigSur では以下の問題が修正されています。

Safariのブックマークが、並べ替えられたり、非表示フォルダーに移動されたりする問題を修正。
Macがスリープから復帰した後、特定のWebサイトが正しく表示されない問題を修正。
写真アプリから写真をエクスポートするときにキーワードが含まれない問題を修正。
PDFドキュメントを検索するとプレビューが応答しなくなる問題を修正。
CivilizationVIを再生すると、16インチMacBookが応答しなくなる問題を修正。

セキュリティアップデート

値チェックの問題で、悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される問題（Audio）
値チェックの問題で、悪意を持って作成されたオーディオファイルを解析すると、ユーザー情報が開示される問題（Audio）
状態管理の問題で、アプリケーションが予期しないシステム終了を引き起こしたり、カーネルメモリを書き込んだりする（AVEVideoEncoder）
制限の確認ロジックの問題で、デバイスが無効なアクティベーション結果を受け入れる（CommCenter）
シンボリックリンク検証の問題で、悪意のあるアプリケーションがroot権限を取得できる（Core Services）
範囲外メモリの読み取り問題で、悪意を持って作成されたオーディオファイルを処理すると、制限されたメモリが公開される問題（CoreAudio）
状態管理の問題で、悪意のあるアプリケーションがファイルシステムの保護された部分を変更できる問題（Crash Reporter）
チェックの問題で、ローカルの攻撃者が特権を昇格できる問題（CVMS）
状態管理の問題で、ローカルユーザーが機密性の高いユーザー情報を漏えいする（Heimdal）
メモリ破壊の問題で、悪意のあるアプリケーションがサービス拒否を引き起こしたり、メモリの内容を開示したりする問題（Heimdal）
範囲外メモリの読み取り問題で、悪意を持って作成された画像を処理すると、ユーザー情報が開示される問題（ImageIO）
チェックの問題で、悪意を持って作成された画像を処理すると、ユーザー情報が開示される問題（ImageIO）
チェックの問題で、悪意を持って作成された画像を処理すると、任意のコードが実行される問題（ImageIO）
チェックの問題で、悪意を持って作成されたASTCファイルを処理すると、メモリの内容が開示される問題（ImageIO）
ロジック検証の問題で、悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる問題（Kernel）
チェックの問題で、悪意のあるアプリケーションが制限されたメモリを開示する問題（Kernel）
ロジック検証の問題で、アプリケーションは、カーネル権限で任意のコードを実行できる問題（Kernel）
ロジック検証の問題で、悪意を持って作成されたメッセージを処理すると、サービス拒否につながる問題（Kernel）
バッファオーバーフローの問題で、アプリケーションは、カーネル権限で任意のコードを実行できる問題（Kernel）
サニタイズの問題で、悪意のあるアプリケーションがサンドボックスから抜け出す問題（LaunchServices）
解放後メモリの問題で、悪意を持って作成されたメールメッセージを処理すると、予期しないメモリの変更やアプリケーションの終了につながる問題（Mail）
状態管理の問題で、悪意を持って作成されたUSDファイルを処理すると、メモリの内容が開示される問題（Model I/O）
メモリ破壊の問題で、悪意を持って作成されたUSDファイルを処理すると、予期しないアプリケーションの終了や任意のコードの実行につながる問題（Model I/O）
範囲外メモリの読み取り問題で、悪意を持って作成されたUSDファイルを処理すると、メモリの内容が開示される問題（Model I/O）
ロジック検証の問題で、悪意を持って作成された画像を処理すると、任意のコードが実行される問題（Model I/O）
範囲外メモリの読み取り問題で、悪意を持って作成されたUSDファイルを処理すると、メモリの内容が開示される問題（Model I/O）
範囲外メモリの読み取り問題で、悪意を持って作成されたUSDファイルを処理すると、予期しないアプリケーションの終了や任意のコードの実行につながる問題（Model I/O）
チェックの問題で、悪意を持って作成されたUSDファイルを処理すると、メモリの内容が開示される問題（Model I/O）
ウィンドウ状態管理の問題で、ユーザーがロック画面から制限されたコンテンツを表示できる問題（Note）
ASN.1デコーダーのメモリ破損の問題で、悪意を持って作成された証明書を処理すると、任意のコードが実行される問題（Security）
iframe要素のクロスオリジンの問題で、悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティングが発生する問題（WebKit）
解放後メモリの問題で、悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される問題（WebKit）
制限の確認問題で、悪意のあるアプリケーションが機密性の高いユーザー情報を漏えいする問題（WebKit）
状態管理の問題で、悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティングが発生する問題（WebKit）
複数のメモリ破壊の問題で、悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される問題（WebKit）
制限の確認問題で、悪意のあるWebサイトが、任意のサーバー上の制限されたポートにアクセスできる問題（WebKit）
Nullポインターの逆参照問題で、リモートの攻撃者がサービス拒否を引き起こす問題（WebRTC）
検証ロジックの問題で、WiFi範囲内の攻撃者は、クライアントに安全性の低い認証メカニズムの使用を強制できる問題（Wi-Fi）

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iPhone に不審なカレンダー登録されるケースが増加中

5/18/2021

0 コメント

iPhone に不審なカレンダー登録されるケースが増加中

めっちゃ沢山登録
されるスケジュール

当社のお客様で、「不審なカレンダー登録された」という問い合わせが増加しています。IPA も今年の3月頃から急激に増加している状況が報告されています。

実際にこれは何が行われていて、利用者の皆さんにどのようなリスクがあり、色々制限された企業用のデバイスで、何故これが起きてしまい、どのように対処すべきかを少しまとめてみましたので参考にしてください。

不審なカレンダー登録の発端はSMS やメール内のリンクを踏むことから始まる

こういうポップアップ出たら
OK押しちゃいけません

本当これなんです。例えば、佐川急便や日本郵政や Amazon とか名乗って、「お荷物が配達できませんでした」みたいな SMS ってよく来ますよね。ここに書いてあるリンクを踏むと、添付のようなポップアップが表示されると思います。ここでOKを押すと、照会カレンダーがデバイスに追加されてしまいます。照会カレンダーを追加してしまうと、対象のサーバからユーザのデバイスに好きなだけスケジュールを登録することが出来てしまうのです。

なので、もし、ぼーっとしていてウッカリと変なリンクを踏んでしまったとしても、このようなポップアップが表示された場合は、内容をよく読み、「カレンダーの照会を追加」という文言があったら、慌てずキャンセルすれば、不審なカレンダー登録被害は防げます。皆さんお忙しいので、デバイスで何か作業中に出ると、早く作業を継続したいので内容をよく読まずにOKしてしまうと思うのですが、ここは本当に気をつけていただきたいポイントです。

そもそもカレンダー照会って何なのよ？というお話し

例：セ・リーグ試合日程

そもそもカレンダー照会って何なのか？、どんなリスクがあるのか？というお話しを少しだけしたいと思います。

カレンダー照会というのは、カレンダーに公式では載っていない日程を載せたい場合に使う追加情報のための仕組みです。有名なところでは、六曜カレンダー、野球やフットボールやの野球の試合の日程など、変わったところではアニメの主人公の誕生日が載ってるようなものまで、様々なカレンダー照会データが、色々なサイトで公開されています。

このスケジュールの中には、リンクの埋め込みなどが可能となるので、ここにマルウェアに誘導するものや、フィッシングなどユーザに被害をもたらす悪意を持ったリンクが埋め込まれることになります。また、このセ・リーグ試合日程を見ていただいて分かるように、突然 377ものイベントがカレンダーに追加されることになるため、通知も結構頻繁に上がってくることになります。

悪意のある不審なカレンダーになると、1日で100件ものイベントが追加されるので、それこそ数分毎に頻繁に通知が上がってくるようになり、大変騒がしい感じになるだけではなく、登録されるスケジュールのタイトル全てが「貴方のデバイスは危険な状態」のようになります。

不審なカレンダーの不審なリンクをクリックすると何が起きるか？

スケジュール内リンクを
踏むと表示されるメッセージ

ここは正直言って、悪意のあるリンクを踏めば、何が起きるかは分かりません。多くの場合は、詐欺っぽいアプリをダウンロードさせてサブスクリプション契約をさせるもののようですが、フィッシングサイトに誘導してID・パスワード・クレジットカード情報など盗まれたり、デバイスそのものを乗っ取られて情報を片っ端から盗まれるというリスクもあることは申し上げておきます。

不正なリンクを踏んだ後には、特定OSに依存した脆弱性や、デバイス機能に依存した脆弱性など常に日々アップデートされる脆弱性を複数利用したエクスプロイトとなる筈なので、踏んだが最後と思った方が間違いないでしょう。そのためにも冒頭書いたように、怪しいリンクを踏まない、怪しいポップアップが出たらOK押さないを心がけてください。

このカレンダーに含まれるリンクをタップすると、画像のような画面が表示されます。笑ってしまうのですが「あなたがアクセスしたアダルトサイトによってiPhoneの 55.6% が破損されました」とか書かれてますｗ　そして色々書いてあるんですが、このリンクを押してすぐにiPhoneを修正するプログラムをダウンロードしてください、となって、その後 App Store の特定アプリに誘導されます。

App Store に登録されているということは、それなりに Apple の審査を通ったまともな機能のアプリなのかもしれませんが、起動早々に読解不能な承認と共に、サブスクリプションに登録させようと必死です。「同意して続行」の下に「続行することで %@ と %@ に同意します」と書いてあって、何に同意するのかも不明なままサブスクリプション登録されてしまのでしょうか。Apple ちゃんと審査してんのかよ、と軽い怒りも感じますｗ　アプリのレビューも日本語になっていない高レビューが登録されていて笑えます。ちなみにこのアプリですが、サブスクリプションが 1週間 880円、1ヶ月 3,400円、半年が 5,200円というボッタクリとしか言いようが無い価格設定。

Epic Games と Apple の裁判で「アップストアの規約によって消費者の安全なアプリ利用が可能になっていることで巨大市場が形成され開発者が恩恵を受けている」とApple側の発言がありましたが、安全なアプリ利用が脅かされているからこそ、この不審なカレンダー事案が増加してるんだろうと思えますね。

審査されてんのか不明なくらい怪しいVPNアプリ

企業のMDM管理下におかれているデバイスでのリスクと対応策は？

企業で配布されているiPhoneはMDMで管理されているケースが多く、ユーザが自由にアカウントの追加・削除を行うことができないのが一般的です。また App Store も消されているケースが多いので、今回のようなマルウェアアプリダウンロード被害に関してはどのようなリスクがあり、どのような対応が可能か考えてみます。

Value	アカウント追加・変更禁止.	App Store 非表示
リスク	・一度カレンダー照会の追加を許可してしまうと、ユーザ自身で照会カレンダーを削除することができません。・数分おきにカレンダー通知で、デバイスが危険と言われ続けることになります。	App Store が非表示であり、Apple ID も利用していなければ、今回紹介したようなマルウェアアプリのダウンロードそのもののリスクはありません。但し、外部構成プロファイルのインストールに誘導されたり、デバイスを乗っ取られるなどの様々なリスクは内在します。
対応策	・カレンダーを利用していて、照会カレンダーが削除できない方は管理者に伝えて、アカウント変更の許可を一時的にしてもらってから、設定＞カレンダー＞アカウントと辿って、対象となる照会カレンダーを削除してください。アカウント変更できる方は、上記設定からアカウントの削除をしてください。・App Store もないし、登録されているスケジュールも気にならないという豪胆な方は、設定＞通知＞カレンダーをオフにすればスケジュールは沢山登録されますが、通知されることはありません。但し、常にスケジュールが沢山登録され、デバイスはそれを通知しようとするためパケットやバッテリーの減りは多くなるかもしれません。またスケジュール内に含まれるリンクの影響度は計り知れませんので、残しておくことは本当にお勧めしません。	もし Apple ID でサインインしてあり、App Store から不正なアプリをダウンロードし、同意までしてしまった場合は、App Store のアカウント情報の中にある、サブスクリプションから契約解除すれば取りあえずの被害は最小限に抑えることができます。サブスクリプションを解除したら、アプリは削除してください。
管理者	・MDM の機能制限ペイロードのAppの非表示を使って、カレンダーそのものを非表示にし、通知ペイロードでカレンダー通知をオフにしてしまうという手もあります。・この場合は、スケジュールに含まれるリンクを踏むことはできませんのでリスクは軽減できますが、ネットワーク帯域やバッテリー消費の問題を引き起こす可能性があるのでお勧めはいたしません。	・MDM の機能制限ペイロードのAppの非表示を使って、対象となる不正なアプリを非表示にしてしまうことが出来ます。・但し、同意してしまってサブスクリプション契約が開始されている場合は、それが解除されることはありませんので、Apple ID 管理者がサブスクリプションの契約解除をすることをお忘れ無く。

不審なカレンダー登録に関するまとめ

いかがでしたでしょうか？不審なカレンダーを追加してしまうと色々面倒ですし、色々なリスクに晒されることをご理解いただけたと思います。削除については Apple 公式サポートページにも記事がございますので参考になさってください。

それぞれの立場の方が、気をつけるべき事は以下の通りです。

ユーザ側：不審なリンクはタップしない、不明なポップアップが出たらキャンセルする。

管理者側：改めてユーザへの周知を徹底する。機能制限の構成を見直す。例えば外部構成プロファイルの追加は禁止しておくなど悪意のあるリンクでできることを減らす対策を考えておく事も重要です。

Apple 公式：iPhone でカレンダーやイベントのスパムを削除する
https://support.apple.com/ja-jp/HT211076

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iOS/iPadOS 14.5.1 , watchOS 7.4.1 , macOS 11.3.1 リリース

5/4/2021

0 コメント

iOS14.5.1 , iPadOS14.5.1 , watchOS7.4.1 , macOS 11.3.1 はバグ修正と重要なセキュリティアップデートが含まれる

今回対処された脆弱性に関するCVE情報

大きめなアップデートに後にはすぐにマイナーアップデートが公開されるのも恒例になってきましたね。
バグ修正というようりも、Apple がエクスプロイトを確認した脆弱性2件の対応セキュリティアップデートが含まれています。（こっちがメインですかね）Apple は全てのユーザがアップデートを適用することを推奨しています。

iOS14.5.1 , iPadOS14.5.1 は、iPhone 6s 以降, iPad Pro (全モデル), iPad Air 2 以降 , iPad 第5世代以降 , iPad mini 以降 , iPod touch 第7世代を対象にリリースされています。
iOS 12.5.3 は、iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3,iPod touch 第6世代を対象にリリースされています。
watchOS7.4.1 は、Apple Watch 第3世代以降を対象にリリースされています。
macOS BigSur 11.3.1 は、MacBook 2015 以降、MacBook Air 2013 以降、MacBook Pro 2013 後期以降、Mac mini 2014 以降、iMac 2014 以降、iMac Pro 2017 以降、Mac Pro 2013 以降が対象となります。

　前回書き忘れましたが、エンタープライズ機能では、2件の追加制限がとバグ修正が以下の通り含まれます。

Apple Watch での iPhone 解除を許可する（機能制限項目の追加）
ディクテーションをオンデバイスで処理することを強制（監視対象のみ）（機能制限項目の追加）
CallKitフレームワークを使用するアプリは、内線電話に基づいて発信者情報を表示できるようになりました。（これ連絡帳アプリ作ってる会社にはかなりダメージありましたが修正されましたね）
On-demand VPN スイッチが正しく無効にならない問題が修正。
Excvhange アカウントのMDMプロファイルが削除された場合、アカウント情報を手動で削除可能になりました。
Exchange アカウントでメモ同期が有効の場合に同期失敗していた問題が修正されました。
Exchange の共有アカウントが IMAP で構成されている場合に認証失敗していた問題が修正されました。
Webクリップ用のアイコンの問題が修正されました。

iOS14.5.1 , iPadOS14.5.1 リリース内容とセキュリティアップデート

修正内容は、App トラッキングの透明性に関する1件の修正。一部のユーザが以前に“設定”で“Appからのトラッキング要求を許可”を無効にしていた場合に、その設定を有効に戻してもAppからの要求が表示されないことがある、Appのトラッキングの透明性に関する問題が修正されます。

セキュリティアップデートは WebKit に含まれる以下の2件の脆弱性が対応されています。2件とも Apple が実際のエクスプロイトを確認しています。早めのアップデートをお願いいたします。

メモリ破壊の問題で、悪意を持って作成されたWebコンテンツを処理すると任意のコードが実行される問題（WebKit）
整数オーバーフローによる問題で、悪意を持って作成されたWebコンテンツを処理すると任意のコードが実行される問題（WebKit）

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント