相も変わらずセキュリティアップデートが多いモバイルデバイス界隈ですが、PC ではランサムウエアがある種の経済圏を持ってしまって、Youtuber ではなく、ホワイトハッカーになりたい子供が続出しているようです。

新機能的には Podcast+ という Podcast のサブスクリプションサービス開始にあたったリリースのようです。Apple さんはエピックゲームズとの裁判で忙しい中、サブスクリプションモデルの導入で忙しそうですね。News+ というニュースサブスクリプションモデルも出ると言われていたので、これもそのうち発表になるのでしょうか。（全く余談ですけど、Apple TV+ の神話クエストというドラマで、バトルロワイヤルなんて下らないと言いながら実装したら、「めちゃくちゃユーザ増えたけど平均年齢が9歳まで下がった、さぁガキ相手にスキンを売りまくって稼ぎまくるぞ！」という下り･･･ｗｗｗでした。）

さて、新しい iOS / iPadOS / watchOS / tvOS / macOS については 40件程度のセキュリティアップデートがあります。

• iOS14.6 , iPadOS14.6 は、iPhone 6s 以降, iPad Pro (全モデル), iPad Air 2 以降 ,  iPad 第5世代以降 ,  iPad mini 以降 , iPod touch 第7世代を対象にリリースされています。
• watchOS7.5 は、Apple Watch 第3世代以降を対象にリリースされています。
• tvOS14.6 は、Apple TV 4K と Apple TV HD が対象です。
• macOS BigSur 11.4 は、MacBook 2015 以降、MacBook Air 2013 以降、MacBook Pro 2013 後期以降、Mac mini 2014 以降、iMac 2014 以降、iMac Pro 2017 以降、Mac Pro 2013 以降が対象となります。
• macOS Catalina には、"Security Update 2021-003 Catalina" がリリースされています。
• macOS Mojave には、"Security Update 2021-004 Mojave" がリリースされています。

Podcast

• チャンネルまたは個別の番組のサブスクリプションに対応

AirTagと“探す”

• AirTagおよび“探す”ネットワークアクセサリで電話番号の代わりにメールアドレスを追加する紛失モードのオプションを追加
• NFC対応デバイスでタップすると、AirTagが所有者の電話番号の一部を隠して表示

アクセシビリティ

• 音声コントロールのユーザは、再起動後の初回ロック解除時に、音声のみを使用してiPhoneのロックを解除可能

このリリースには、以下の問題の修正も含まれます:

• Apple Watchで“iPhoneをロック”を使用したあとに“Apple Watchでロック解除”が動作しない場合がある問題
• リマインダーが空白行として表示される場合がある問題
• “設定”で着信拒否の機能拡張が表示されないことがある問題
• Bluetoothデバイスで、通話中に切断されたり、別のデバイスにオーディオが送信されたりすることがあった問題
• iPhoneの起動時にパフォーマンスが低下する場合がある問題

macOS BigSur では以下の問題が修正されています。

• Safariのブックマークが、並べ替えられたり、非表示フォルダーに移動されたりする問題を修正。
• Macがスリープから復帰した後、特定のWebサイトが正しく表示されない問題を修正。
• 写真アプリから写真をエクスポートするときにキーワードが含まれない問題を修正。
• PDFドキュメントを検索するとプレビューが応答しなくなる問題を修正。
• CivilizationVIを再生すると、16インチMacBookが応答しなくなる問題を修正。

当社のお客様で、「不審なカレンダー登録された」という問い合わせが増加しています。IPA も今年の3月頃から急激に増加している状況が報告されています。

実際にこれは何が行われていて、利用者の皆さんにどのようなリスクがあり、色々制限された企業用のデバイスで、何故これが起きてしまい、どのように対処すべきかを少しまとめてみましたので参考にしてください。

​本当これなんです。例えば、佐川急便や日本郵政や Amazon とか名乗って、「お荷物が配達できませんでした」みたいな SMS ってよく来ますよね。ここに書いてあるリンクを踏むと、添付のようなポップアップが表示されると思います。ここでOKを押すと、照会カレンダーがデバイスに追加されてしまいます。照会カレンダーを追加してしまうと、対象のサーバからユーザのデバイスに好きなだけスケジュールを登録することが出来てしまうのです。

なので、もし、ぼーっとしていてウッカリと変なリンクを踏んでしまったとしても、このようなポップアップが表示された場合は、内容をよく読み、「カレンダーの照会を追加」という文言があったら、慌てずキャンセルすれば、不審なカレンダー登録被害は防げます。皆さんお忙しいので、デバイスで何か作業中に出ると、早く作業を継続したいので内容をよく読まずにOKしてしまうと思うのですが、ここは本当に気をつけていただきたいポイントです。

そもそもカレンダー照会って何なのか？、どんなリスクがあるのか？というお話しを少しだけしたいと思います。
​
カレンダー照会というのは、カレンダーに公式では載っていない日程を載せたい場合に使う追加情報のための仕組みです。有名なところでは、六曜カレンダー、野球やフットボールやの野球の試合の日程など、変わったところではアニメの主人公の誕生日が載ってるようなものまで、様々なカレンダー照会データが、色々なサイトで公開されています。

このスケジュールの中には、リンクの埋め込みなどが可能となるので、ここにマルウェアに誘導するものや、フィッシングなどユーザに被害をもたらす悪意を持ったリンクが埋め込まれることになります。また、このセ・リーグ試合日程を見ていただいて分かるように、突然 377ものイベントがカレンダーに追加されることになるため、通知も結構頻繁に上がってくることになります。

悪意のある不審なカレンダーになると、1日で100件ものイベントが追加されるので、それこそ数分毎に頻繁に通知が上がってくるようになり、大変騒がしい感じになるだけではなく、登録されるスケジュールのタイトル全てが「貴方のデバイスは危険な状態」のようになります。

ここは正直言って、悪意のあるリンクを踏めば、何が起きるかは分かりません。多くの場合は、詐欺っぽいアプリをダウンロードさせてサブスクリプション契約をさせるもののようですが、フィッシングサイトに誘導してID・パスワード・クレジットカード情報など盗まれたり、デバイスそのものを乗っ取られて情報を片っ端から盗まれるというリスクもあることは申し上げておきます。

不正なリンクを踏んだ後には、特定OSに依存した脆弱性や、デバイス機能に依存した脆弱性など常に日々アップデートされる脆弱性を複数利用したエクスプロイトとなる筈なので、踏んだが最後と思った方が間違いないでしょう。そのためにも冒頭書いたように、怪しいリンクを踏まない、怪しいポップアップが出たらOK押さないを心がけてください。

​このカレンダーに含まれるリンクをタップすると、画像のような画面が表示されます。笑ってしまうのですが「あなたがアクセスしたアダルトサイトによってiPhoneの 55.6% が破損されました」とか書かれてますｗ　そして色々書いてあるんですが、このリンクを押してすぐにiPhoneを修正するプログラムをダウンロードしてください、となって、その後 App Store の特定アプリに誘導されます。

App Store に登録されているということは、それなりに Apple の審査を通ったまともな機能のアプリなのかもしれませんが、起動早々に読解不能な承認と共に、サブスクリプションに登録させようと必死です。「同意して続行」の下に「続行することで %@ と %@ に同意します」と書いてあって、何に同意するのかも不明なままサブスクリプション登録されてしまのでしょうか。Apple ちゃんと審査してんのかよ、と軽い怒りも感じますｗ　アプリのレビューも日本語になっていない高レビューが登録されていて笑えます。ちなみにこのアプリですが、サブスクリプションが 1週間 880円、1ヶ月 3,400円、半年が 5,200円というボッタクリとしか言いようが無い価格設定。

Epic Games と Apple の裁判で「アップストアの規約によって消費者の安全なアプリ利用が可能になっていることで巨大市場が形成され開発者が恩恵を受けている」とApple側の発言がありましたが、安全なアプリ利用が脅かされているからこそ、この不審なカレンダー事案が増加してるんだろうと思えますね。

企業で配布されているiPhoneはMDMで管理されているケースが多く、ユーザが自由にアカウントの追加・削除を行うことができないのが一般的です。また App Store も消されているケースが多いので、今回のようなマルウェアアプリダウンロード被害に関してはどのようなリスクがあり、どのような対応が可能か考えてみます。​

いかがでしたでしょうか？不審なカレンダーを追加してしまうと色々面倒ですし、色々なリスクに晒されることをご理解いただけたと思います。削除については Apple 公式サポートページにも記事がございますので参考になさってください。

それぞれの立場の方が、気をつけるべき事は以下の通りです。

ユーザ側：不審なリンクはタップしない、不明なポップアップが出たらキャンセルする。

管理者側：改めてユーザへの周知を徹底する。機能制限の構成を見直す。例えば外部構成プロファイルの追加は禁止しておくなど悪意のあるリンクでできることを減らす対策を考えておく事も重要です。

Apple 公式：iPhone でカレンダーやイベントのスパムを削除する​
https://support.apple.com/ja-jp/HT211076

大きめなアップデートに後にはすぐにマイナーアップデートが公開されるのも恒例になってきましたね。
バグ修正というようりも、Apple がエクスプロイトを確認した脆弱性2件の対応セキュリティアップデートが含まれています。（こっちがメインですかね）Apple は全てのユーザがアップデートを適用することを推奨しています。

• iOS14.5.1 , iPadOS14.5.1 は、iPhone 6s 以降, iPad Pro (全モデル), iPad Air 2 以降 ,  iPad 第5世代以降 ,  iPad mini 以降 , iPod touch 第7世代を対象にリリースされています。
• iOS 12.5.3 は、iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3,iPod touch 第6世代を対象にリリースされています。
• watchOS7.4.1 は、Apple Watch 第3世代以降を対象にリリースされています。
• macOS BigSur 11.3.1 は、MacBook 2015 以降、MacBook Air 2013 以降、MacBook Pro 2013 後期以降、Mac mini 2014 以降、iMac 2014 以降、iMac Pro 2017 以降、Mac Pro 2013 以降が対象となります。

　前回書き忘れましたが、エンタープライズ機能では、2件の追加制限がとバグ修正が以下の通り含まれます。

•  Apple Watch での iPhone 解除を許可する（機能制限項目の追加）
• ディクテーションをオンデバイスで処理することを強制（監視対象のみ）（機能制限項目の追加）
• CallKitフレームワークを使用するアプリは、内線電話に基づいて発信者情報を表示できるようになりました。（これ連絡帳アプリ作ってる会社にはかなりダメージありましたが修正されましたね）
• On-demand VPN スイッチが正しく無効にならない問題が修正。
• Excvhange アカウントのMDMプロファイルが削除された場合、アカウント情報を手動で削除可能になりました。
• Exchange アカウントでメモ同期が有効の場合に同期失敗していた問題が修正されました。
• Exchange の共有アカウントが IMAP で構成されている場合に認証失敗していた問題が修正されました。
• Webクリップ用のアイコンの問題が修正されました。 

修正内容は、App トラッキングの透明性に関する1件の修正。一部のユーザが以前に“設定”で“Appからのトラッキング要求を許可”を無効にしていた場合に、その設定を有効に戻してもAppからの要求が表示されないことがある、Appのトラッキングの透明性に関する問題が修正されます。

セキュリティアップデートは WebKit に含まれる以下の2件の脆弱性が対応されています。2件とも Apple が実際のエクスプロイトを確認しています。早めのアップデートをお願いいたします。

• メモリ破壊の問題で、悪意を持って作成されたWebコンテンツを処理すると任意のコードが実行される問題（WebKit）
• 整数オーバーフローによる問題で、悪意を持って作成されたWebコンテンツを処理すると任意のコードが実行される問題（WebKit）